Lecciones aprendidas – Lo que nos deja 2013

el

En lo que corresponde a volúmenes de ataques y cantidad de datos robados, se puede decir que 2013 ha sido mejor que 2012, sin embargo hay mucho trabajo por hacer y espero que los administradores de sistemas y los desarrolladores se sensibilicen sobre la aplicación de esquemas que lleven a reforzar la seguridad de los sistemas, sobre todo en estos tiempos de migración a plataformas en la nube.

De acuerdo a la Privacy Rights Clearinghouse de 27.8 millones de registros comprometidos en 2012 la cifra bajó a 10.6 millones de registros en 2013 representando una reducción de 61.9 %, en cuanto a la cantidad de ataques satisfactorios reportados la cifra bajó de 637 a 483 representando una reducción del 24.2 %, esto significa que la velocidad de los ataques no ha disminuido significativamente, pero el impacto de los ataques si ha sido menor. Claro está que el impacto real se debe medir por el tipo de información que los atacantes lograron robarse. Los ataques actuales están más enfocados y si bien pueden que roben menos información, esta información tiene mayor valor.

Casos emblemáticos del 2013

CorporateCarOnline.com: 850.000 registros robados entre los que se pueden enumerar: datos personales, números de tarjetas de crédito y otros datos de personajes importantes en el mundo del espectáculo y el entretenimiento.

Adobe: Cerca de 3 millones de registros con información personal robados, más de 150 millones de claves comprometidas. Los delincuentes pudieron extraer el código fuentes de programas tales como: Adobe Acrobat, ColdFusion, ColdFusion Builder y otros programas.

Departamento de Energía de Estados Unidos: 53 mil registros personales de empleados y ex empleados.

Advocate Medical Group: 4 millones de registros de pacientes robados al llevarse cuatro computadoras de una de sus oficinas.

Lecciones aprendidas

El ingenio y creatividad de los delincuentes no tiene límite, son capaces de utilizar múltiples vectores de ataque para lograr su objetivo, así fue que lograron penetrar las barreras de seguridad de CorporateCarOnline.com combinando la ingeniería social con ataques dirigidos, para extraer información de tarjetas de crédito de personajes de alto nivel, tales como Tom Hanks, Donald Trump y del Senador Tom Daschle.

Del caso de Adobe, el aprendizaje que nos dejó es que debemos reforzar la forma en que se utilizan y guardan las claves y reforzarlo todos los años, en la medida que aumente el poder de cómputo de los delincuentes.

El Departamento de Energía cayó en desgracia por no tener su software actualizado con los parches de seguridad. Terrible falla.

Y Advocate Medical Group no aplicó los controles básicos de protección física y lógica a sus activos de información, permitiendo que los usuarios descargaran información sensible de sus bases de datos a los equipos de escritorio de sus empleados que a la postre no estaban cifrados. Esto queda para la historia.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s