2015 no ha sido un año especialmente bueno en cuanto a seguridad informática. Los usuarios que nos siguen a diario pueden haber visto cómo a lo largo del año hemos hablado de un gran número de ataques informáticos con robo de datos tanto a otros usuarios como a grandes empresas de Internet que, en la mayoría de los casos, además de vulnerar la seguridad de los servidores, la culpa ha sido de la empresa, quienes no almacenaban los datos correctamente, permitiendo a los piratas informáticos acceder a la información sin cifrar.
A continuación, vamos a ver un breve resumen sobre los eventos más peligrosos que han ocurrido a lo largo de este 2015, las principales empresas que se han visto hackeadas por los piratas informáticos y los hechos que han comprometido los datos de los usuarios.
Ashley Madison, el ataque informático que perseguirá a muchos para siempre
Para aquellos que no hayan oído hablar de esta plataforma, Ashley Madison es una red social pensada para buscar nuevas parejas para ser infiel a tu pareja actual. La gran cantidad de información convencional que guarda esta red social es inmensa, por lo que debido a un fallo de seguridad un pirata informático consiguió hacerse con la base de datos completa de todos los usuarios de esta plataforma.
Tras no llegar a un acuerdo negociando con los responsables de AM, el pirata informático finalmente puso a disposición del público toda la base de datos, lo que ha causado que muchos usuarios se hayan visto entre la espada y la pared, recibiendo incluso extorsiones por parte de otros usuarios a cambio de su silencio.
Lejos de entrar en debate sobre si es merecido, no merecido o simplemente una cosa del karma, este es sin duda uno de los ataques que más ha dado de qué hablar, que más ha comprometido y que mayores daños, a nivel personal, ha generado entre las víctimas.
- Hackean el popular sitio de citas AshleyMadison
- Publican los datos robados de los 37 millones de usuarios de Ashley Madison
- Medio centenar de usuarios de Ashley Madison españoles están sufriendo extorsiones
- Comprueba si tus datos (o los de tu pareja) han sido filtrados en el ataque contra Ashley Madison
Superfish, el fallo de los certificados de Lenovo
Los usuarios de equipos de Lenovo, conocido fabricante de sistemas informáticos, se ha visto afectado este año debido a la información de software malicioso por defecto en todos sus sistemas. Entre todo el bloatware que instalan los fabricantes por defecto, una aplicación (llamada Superfish) ha visto cómo sus certificados eran vulnerables y cómo los piratas informáticos han podido utilizarlos para llevar a cabo ataques Man-in-the-middle contra sus clientes.
Lenovo no ha sido la única compañía que ha visto sus certificados comprometidos. 2015 ha sido un mal año en todos los aspectos, y los certificados digitales no han sido una excepción.
- Lenovo la lía con un programa dedicado a mejorar la experiencia de los usuarios de sus ordenadores
- Lenovo permite desinstalar su “software inamovible”
The Hacking Team, los piratas informáticos que trabajaban para el gobierno
The Hacking Team es una empresa de (in)seguridad italiana encargada de desarrollar software malicioso (malware, spyware) y venderlo posteriormente a gobiernos y agencias de inteligencia para que, legalmente, puedan atacar a otros objetivos. Esta empresa también se ha encargado de investigar vulnerabilidades en el software y guardárselas para ellos mismos.
Un usuario logró evadir las medidas de seguridad de esta compañía y hacerse con más de 500GB de información confidencial sobre ella, haciéndola posteriormente pública. Un análisis en profundidad de esta información ha revelado una gran cantidad de información interna, principales objetivos, burlas hacia los usuarios por parte de los trabajadores y un gran número de vulnerabilidades utilizadas en el software de Adobe, Microsoft y otras compañías que han sido solucionadas por los desarrolladores originales.
- El cazador cazado: Hackean a la empresa Hacking Team
- Comprueba si tu equipo Windows está infectado con malware de Hacking Team
vTech, violando la privacidad de los más pequeños
Actualmente, lo que antes simplemente era un juguete, ahora es un completo dispositivo inteligente que puede incluso conectarse a Internet. vTech, fabricante de este tipo de juguetes para niños, vio comprometidos sus servidores filtrando información personal sobre más de 5 millones de clientes de todo el mundo. Sin embargo, eso no es lo peor, sino que también durante el ataque se consiguieron robar más de 190 Gigabytes de fotografías de niños utilizando sus juguetes.
Los juguetes inteligentes son un peligro, por lo que si no sabemos proteger su privacidad lo mejor posible es mejor comprar otras alternativas más «tontas».
LastPass, cuanto una sola contraseña compromete todas las demás
A mediados de año, un fallo de seguridad en LastPass expuso las contraseñas maestras que los usuarios utilizaban en sus bases de datos para proteger sus datos de los accesos no autorizados. Aunque nunca se dio un informe detallado sobre la vulnerabilidad ni sobre el alcance de la misma, los piratas informáticos consiguieron acceso completo a los servidores de la compañía, por lo que cualquiera de los usuarios de LastPass ha podido ver cómo sus contraseñas han caído en manos de piratas informáticos, o peor, de los gobiernos.
Por esta razón no solemos recomendar el uso de estas aplicaciones, o al menos el uso de gestores de contraseñas privativos (y de pago) como LastPass pudiendo utilizar alternativas libres como KeePass.
- LastPass ha sido hackeado. ¿Qué debemos hacer?
- LastPass es totalmente inseguro, y lo demostrarán en la próxima Black Hat Europe 2015
Vulnerabilidades, bugs y fallos de seguridad
A lo largo de todo 2015 muchos investigadores de seguridad han estado trabajando en buscar vulnerabilidades y fallos en las aplicaciones más utilizadas con el fin de hacer de Internet un lugar mejor y, de paso, ganar algo de dinero gracias a los programas Bug Bounty. Gracias a ello, los navegadores web principales, sistemas operativos y aplicaciones diarias son, a día de hoy, un poco más seguras.
Entre otros, algunos de los ejemplos de vulnerabilidades son los de los equipos de seguridad de Juniper (vulnerabilidades introducidas por la NSA), el final del blindaje de Mac OS X y el interminable número de fallos en Adobe Flash Player que no ha hecho más que comprometer, día a día, la seguridad de todos los usuarios que hacen uso de este reproductor de contenido web.
¿Recuerdas algún otro evento relacionado con la seguridad que haya tenido lugar este 2015?