Quienes sigan más de cerca las noticias sobre ciberataques y ciberprotección estarán al tanto de lo ocurrido en abril con Snowflake, la compañía de almacenamiento de datos en la nube: un ataque de once días que afectó a unos 165 clientes (comprometiendo los datos personales de cientos de miles de personas, entre ellos el Banco Santander, AT&T o Ticketmaster.
Pues resulta que han atrapado al “cibermalo”: un tal Alexander “Connor” Moucka, alias Judische, alias Waifu, un ciudadano canadiense a punto de ser extraditado al gran vecino del sur con un bonito historial a su espalda que forma parte de una organización cibercriminal conocida como “the Com” que, por supuesto, sigue en activo.
Aunque sea una buena noticia, las informaciones que la rodean sí está lejos de resultar tranquilizadoras. Por un lado, porque el daño está hecho y repararlo es una tarea digna de Sísifo. Y por otro, porque la cadena de errores de ciberseguridad que llevó al incidente sigue vigente en miles de organizaciones.
Una perversa espiral de cracking y “cibernegligencias”
Sin perdernos en los detalles, más o menos la cosa fue como sigue:
- Los ciberdelincuentes consiguieron infectar los dispositivos electrónicos de una o varias personas con privilegios administrativos (empleados de Snowflake y de sus clientes) con un software de tipo infostealer capaz de detectar pulsaciones de teclado.
- Varias de estas personas no contaban con sistema de autenticación multifactor (algo temerario en el ámbito profesional que en la UE regulará la ley DORA); ¡se ha comprobado que algunas de sus claves se remontaban a 2020!
- Los piratas informáticos tuvieron acceso a unos seis meses de mensajes y llamadas… Las toneladas de datos obtenidas generaron un efecto cascada que proporcionó nuevos datos y más posibilidades para venderlos o realizar extorsiones.
Como vemos, en el caso Snowflake confluyeron varias debilidades en la ciberprotección y malas prácticas en ciberseguridad: contraseñas de usuario obsoletas, ausencia de MFA por defecto, arquitectura de código débil desde la perspectiva de la ciberdefensa… El resultado ha demostrado ser catastrófico, y todavía ni siquiera puede valorarse su alcance económico.
Así que sí, el tal Moucka está detenido y puede que (como dice el clásico) dé con sus huesos en prisión. Pero eso significa poco para las empresas y clientes finales afectados; the Com prosigue su actividad delictiva y los datos sensibles ya están en el mercado negro o siendo usados para conseguir nuevos datos… Una enorme llamada de atención acerca de la importancia que tiene para las empresas contar con una estrategia de ciberseguridad sólida.
IMAGEN DE PORTADA: Christoph Scholz en flickr
