Verizon publica compendio sobre violaciones de datos

El informe examina las causas de las violaciones de datos, credenciales robadas en un 42%

Las víctimas de las violaciones de datos se creen que son únicas, que algún hacker o estado nacional los ha tomado como blanco específico y los ha afectado con un hackeo complejo y único en su tipo que jamás se verá de nuevo.

Y ese no es el caso.

En los últimos tres años, tan solo 12 escenarios representan más del 60% de las investigaciones de Verizon sobre violaciones de datos. Verizon publicó su primer Compendio sobre Violaciones de Datos (Data Breach Digest es su título en inglés) que analiza las violaciones cibernéticas que ha investigado su equipo de trabajo RISK, donde divulga sus expedientes de casos y le da a los individuos una visión de las violaciones desde el terreno.

El Compendio sobre Violaciones de Datos examina 18 escenarios en que se produjeron tales violaciones. Fueron seleccionados en base a su prevalencia y/o letalidad. Se describe en detalle un escenario en que se produjo robo de credencial, lo cual se utiliza en los hackeos un 42% del tiempo. Puede tomar semanas o meses detectar esos hackeos, y contenerlos toma aproximadamente el mismo tiempo.

Esos violaciones incluyen spyware o ataques de captura a pulsaciones de teclado o keylogger, que implican la introducción no autorizada de software o hardware en un sistema para registrar la información generada por el usuario y por el sistema. Las motivaciones de los hackers van desde financieras, hasta de espionaje e ideológicas.

El Compendio de Violaciones de Datos Data cuenta la historia del team RISK investigando una violación en una corporación. En este caso, el hacker logró acceso a un servidor web e instaló malware capaz de descargar las contraseñas y robar credenciales mediante la captura de pulsaciones del teclado.

Los hackers comprometieron varias cuentas de administrador utilizando dumping de contraseñas, craqueo de contraseñas y la captura de pulsaciones del teclado. Al continuar el análisis forense, Verizon se dio cuenta que la envergadura del robo de credenciales era mucho mayor.

Además de registrar datos y direcciones IP, Verizon recuperó una hoja de cálculo borrada que incluía un listado de más de 100 nombres de usuario y contraseñas para un administrador específico. Esa hoja de cálculo había sido exportada de un servicio de repositorio de contraseñas que el administrador había utilizado para gestionar las contraseñas personales y profesionales.

La autenticación de doble factor no se requería para acceder al servicio de repositorio de contraseñas. Este conjunto de credenciales comprometidas hizo que los hackers pudieran obtener incluso más credenciales y les dio acceso a numerosas ubicaciones de la red, incluyendo varios controladores de dominio.

Esto terminó con un cambio forzado de contraseñas para la empresa completa, además de eliminar el malware. También se instrumentó una nueva política de contraseñas que requiere una contraseña única para acceder a cada recurso. Verizon también recomendó la autenticación de dos factores para el acceso remoto.

El compendio completo Data Breach Digest puede descargarse aquí.