100.000 frente a 150 millones de dólares: del rescate a la limpieza
Para un CEO, CISO u otro profesional de la seguridad, nada provoca más pánico que recibir un mensaje del tipo “Sus archivos han sido cifrados” con un enlace en el que se pide un rescate.
Sin embargo, a veces lo más temido (la petición de rescate) no es el golpe económico que más duele. A menudo, los costes de limpieza del ataque son el golpe más devastador.
Ningún ejemplo de la historia reciente lo ilustra mejor que la brecha de datos de Uber que tuvo lugar en 2016, en la que una petición de rescate de 100.000 dólares acabó costando a la empresa más de 150 millones de dólares.
Cómo los costes de la brecha de datos de Uber acaecida en 2016 superan los 150 millones de dólares
En el caso de Uber, no fue la brecha de datos lo que hizo que corriera la voz. Fue el encubrimiento intencionado por parte del CSO de la empresa y otros ejecutivos.
En 2016, un grupo de ciberdelincuentes accedió a un servidor externo. Robaron la información personal de 57 millones de clientes de Uber y más de siete millones de conductores, incluidos los números de carné de conducir de 600.000 conductores. En un intento de ocultar la intrusión, el CSO, John Sullivan, pagó el rescate de 100.000 dólares en bitcoins que exigían los hackers, pero el encubrimiento fue más allá. La empresa localizó a los hackers, los obligó a firmar acuerdos de confidencialidad y atribuyó falsamente el pago del rescate a una recompensa por descubrimiento de fallos.
Uber consiguió mantener el secreto durante un tiempo pero, en noviembre de 2017, la empresa anunció públicamente que había descubierto la brecha mientras revisaba sus prácticas comerciales. El hecho de que Uber no revelara la brecha a su debido tiempo dio lugar a múltiples investigaciones y acciones legales por parte de los fiscales generales de los 50 estados y de la FTC.
Después de pagar los honorarios de los abogados y los peritos investigadores, así como los acuerdos legales y los servicios de control de crédito y protección frente al robo de identidad de todos los afectados, el coste total de la filtración superó con creces los 148 millones de dólares. Además, Uber perdió la confianza del público y de muchos clientes, lo que supuso aún más pérdidas económicas.
Una lección para todas las empresas
Si Uber hubiera dicho la verdad desde el principio, este incidente no sería actualmente sinónimo de “cómo no gestionar una brecha de datos.”
Por desgracia, las brechas de datos son habituales, aunque el enorme coste de la brecha de Uber es un reflejo directo de cómo una situación mal gestionada puede disparar los costes. Por supuesto, Uber habría tenido que pagar el rescate y los costes asociados a la notificación y el resarcimiento de las personas cuyos datos quedaron expuestos. Eso podría haber alcanzado fácilmente varios millones.
Ahora bien, si Uber hubiera sido transparente y hubiera actuado con franqueza, habría evitado las demandas a escala nacional, que se resolvieron por 148 millones de dólares.
La filtración de datos de Uber de 2022
Uber fue víctima de otro ataque en septiembre de 2022. Según el comunicado de Uber, un hacker compró las credenciales corporativas de un contratista de Uber en la dark web. Inicialmente, el hacker no pudo acceder a la red de Uber porque la cuenta del contratista estaba protegida con autenticaciónmultifactor. . El hacker envió un mensaje al contratista, diciendo que pertenecía al equipo de seguridad de Uber, y le pidió que aprobara las notificaciones MFA. Cuando el contratista lo hizo, el atacante entró en la red de Uber.
El hacker accedió a la VPN de Uber y encontró scripts de Microsoft Powershell que contenían credenciales de inicio de sesión de usuarios administradores. Los utilizó para acceder a DA, DUO, AWS, Onelogin, GSuite y a los informes de recompensas por errores de Uber.
Dado que no se robaron datos y que el hacker no exigió un rescate, parece que el motivo fue más bien ganar prestigio en la comunidad de hackers.
¿Podría Uber haber evitado otro ataque?
El hecho de que Uber haya vuelto a ser víctima de un ataque, pone de manifiesto la necesidad de que las empresas trabajen continuamente para reforzar su seguridad. Aunque los equipos de seguridad tienen mucho con lo que lidiar, cerrar las brechas críticas debe ser siempre una prioridad.
Si Uber es como la mayoría de las empresas, es probable que su equipo de seguridad carezca de personal suficiente. En la última década, la demanda de especialistas en ciberseguridad ha aumentado exponencialmente, pero no hay suficientes profesionales cualificados para cubrir todas las vacantes.
Las empresas con poco personal deberían considerar la posibilidad de recurrir a un proveedor de SOC gestionado como CYREBRO. Las soluciones de SOC gestionado pueden aliviar en gran medida la carga de los equipos informáticos internos al proporcionarles supervisión, respuesta a incidentes, búsqueda de amenazas e inteligencia sobre amenazas las 24 horas del día, los 7 días de la semana, y mucho más. Para las PYMES, en particular, un SOC gestionado puede reducir los costes generales de seguridad, ayudar a garantizar la ciberseguridad y liberar la carga sobre los empleados para que puedan dedicarse a otras tareas críticas para la empresa.
Las 3 fases de la gestión de brechas de seguridad
Tanto si una empresa gestiona las brechas de seguridad a nivel interno como si lo hace con un socio externo, la forma de reducir los costes a largo plazo se reduce a seguir correctamente las tres fases de la gestión de brechas de seguridad.
Fase 1: Contención de la brecha
Aísle de la red los sistemas afectados para evitar que el malware se siga propagando y detener el acceso no autorizado. Coordine el apagado de acuerdo con la política de respuesta a incidentes (IR) y asegúrese de que las comunicaciones lleguen a todo el personal de IR. Cierre las puertas de enlace que se utilizaron para la brecha, elimine cualquier puerta trasera que el atacante pueda haber instalado, identifique los IOC (indicadores de compromiso) y busque las TTP (tácticas, técnicas y procedimientos) que los hackers utilizaron para vulnerar su seguridad.
Fase 2: Limpieza tras la brecha
Tras eliminar cualquier programa malicioso (y borrar los sistemas afectados si es necesario), restaure los sistemas a partir de copias de seguridad no afectadas. Pruebe los sistemas para confirmar que funcionan correctamente y evalúelos continuamente para asegurarse de que se parchea cualquier vulnerabilidad aprovechada y se eliminan por completo las infecciones.
Fase 3: Cierre de la brecha y refuerzo de las medidas de seguridad
Después de parchear y actualizar los sistemas y el software, revise y actualice los controles de seguridad, comofirewalls, software antivirus y sistemas de detección y prevención de intrusiones (IDPS), para asegurarse de que están correctamente configurados. Implemente nuevos controles de seguridad, y revise y actualice las políticas y procedimientos de respuesta a incidentes y de gestión de incidentes.
Lleve a cabo evaluaciones de seguridad periódicas con análisis de vulnerabilidades y pruebas de penetración para identificar nuevas vulnerabilidades y actualice las políticas de cumplimiento si es necesario. Por último, sensibilice a los empleados con sesiones de formación sobre buenas prácticas de seguridad y sobre cómo detectar y notificar las actividades sospechosas. Uber podría haber evitado su última brecha si hubiera dado este paso.
Reducir los costes de la brecha de datos
Si un día entra en su oficina y se encuentra con un mensaje desgarrador que le informa de que ha sido víctima de una brecha de datos, recuerde que el rescate exigido es sólo una pequeña parte del coste.
Cada trozo del pastel de la brecha de datos tiene su propio precio. Es posible que tenga que pagar a investigadores y abogados, multas impuestas por el sector, servicios de protección al cliente y expertos que le ayuden a recuperar su reputación.
Sitúese en la mejor posición para hacer frente a las brechas de seguridad contando con un plan eficaz de respuesta a incidentes y un equipo o un socio que se encargue de gestionar la respuesta cuando sea necesario. No estar preparado aumenta el riesgo y puede llevar a su organización a convertirse en el próximo escándalo o, lo que es peor, a tener que cerrar el negocio debido al enorme coste de lasconsecuencias de un ataque.