Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
El término onda expansiva se refiere al intenso impulso de hiperpresurización creado al detonar un explosivo de alto poder. Este impulso genera lesiones que se caracterizan por cambios anatómicos y fisiológicos producidos por la fuerza de hiperpresurización directa o reflectora que impacta en la superficie de los cuerpos. Como bien dice el término se necesita de la explosión de un dispositivo de alto poder y dicha explosión altera los objetos que están directamente en el radio de acción, de esa onda.
Ahora bien, qué tiene que ver esto con la ciberseguridad y las filtraciones de datos. Ahí es donde surge la pregunta más importante de este artículo, ¿Es la información nuestro “explosivo” de alto poder, que puede llegar a explotar en cualquier momento? ¿Si la información es este explosivo, puede su detonación (en referencia a la filtración de datos) afectar a objetivos cercanos? ¿Podría incluso tener un alcance mayor? A lo largo de este post analizaremos el caso de la empresa T-mobile y como sus recientes filtraciones están teniendo consecuencias en varios ámbitos
T-mobile es una empresa de telecomunicaciones inalámbricas, que ofrece servicios de red celular particularmente en los Estados Unidos y en todo el mundo. La historia de T-Mobile se remonta a 1994, cuando fue fundada en Bellevue, Washington, Estados Unidos, como VoiceStream Wireless PCS, una empresa de telecomunicaciones inalámbricas. La compañía inicialmente operaba en el noroeste del Pacífico de los Estados Unidos, pero se expandió rápidamente a otras regiones del país. En 2001 la empresa alemana llamada, Deutsche Telekom adquirió VoiceStream Wireless PCS y posteriormente la renombró como T-Mobile USA en 2002. Con esta adquisición, T-Mobile se convirtió en la primera empresa de telecomunicaciones inalámbricas propiedad de una empresa europea que operaba en los Estados Unidos (Es por eso que suele prestarse a confusión respecto de la nacionalidad de esta empresa).
En fin, si de onda expansivas se trata, cuando hablamos de una compañía de telecomunicaciones afectada, hablamos de un plato perfecto, con todos los ingredientes necesarios para generar esa debida hiperpresurización (si salteaste la intro y llegaste hasta aquí, en la intro te lo explico), ya que recientemente T-Mobile ha sufrido varias filtraciones de datos. Hace aproximadamente 6 días hubo una segundo data breach en lo que va de 2023, encendiendo las alarmas en todos los usuarios de esta empresa. Estas recientes violaciones de datos ocurrieron tras la primera que tuvo lugar a fines de febrero, en donde se revelaron datos de 37 millones de personas. Si bien el incidente reciente afectó solo a 836 clientes de la empresa, la cantidad de información expuesta es realmente muy extensa, exponiendo a las personas afectadas a robos de identidad y ataques de phishing que siguen siendo moneda corriente en todo el mundo.
En muchas oportunidades los data breach actuales pueden o no llegar a ser consecuencia de problemas de seguridad ocurridos en un pasado lejano o no tan lejano en sí (tomen nota de esto para más adelante) si tuviésemos que hacer una línea de tiempo para intentar buscar la raíz del problema, cuando ocurre un data breach, podríamos viajar hacia el pasado para obtener información de los ataques anteriores realizados a una empresa en particular, en nuestro caso T-Mobile.
Es una realidad, que los equipos de respuesta ante incidentes (CSIRT) de las empresas estén al corriente con todos los ataques que ocurren hacia su propia infraestructura, esta tarea ya de por sí es una tarea titánica, debido a que no solo implica que deben estar cien por ciento atentos a las alarmas que los sistemas de defensa pasiva nos proveen, sino que también deben estar atentos a las noticias, a los comportamientos de los usuarios, reducir el impacto, restaurar la continuidad de negocio, prevenir futuros incidentes y depender también del correcto funcionamiento de otros equipos sumado a un largo etcétera. Ahora bien, imaginemos que a toda esa lista enorme de tareas le agregamos que también deberían estar atentos a filtraciones de otras empresas.
Esa onda expansiva en un caso más literal tiende a disminuir su potencia a medida que se va alejando del objetivo principal. Ahora bien, si hablamos sobre una bomba de datos el daño que ocurre, puede o no depender de la cercanía al foco del incidente. Debido a que los datos trascienden las fronteras y como explicamos anteriormente en el caso de ejemplo, no depende de la cercanía directa. Un dato serio puede impactar y atacar relaciones de confianza construidas previamente con el objetivo de adquirir un servicio.
¿Todos los Databreach nos deberían preocupar?
Existen varias situaciones potencialmente riesgosas que podrían llegar a perjudicarnos, ejemplo, si la organización afectada es un proveedor de telefonía, como es este caso, todas las compañías que compartan la base de datos con la misma o todas las entidades relacionadas con esta empresa de telecomunicaciones podrían llegar a tener un impacto mucho mayor que el resto.
Debido a que los clientes de una compañía telefónica hoy día tienen más de un recurso asociado a este servicio, por lo que una receta para estar al tanto de todo sería filtrar las noticias de seguridad de modo tal que se asocien a los intereses de nuestra organización. Por ejemplo, si somos una entidad bancaria sabemos que existe una conexión entre todo el resto de entidades bancarias, por lo que una afectación puede ser una alarma suficiente para prestar atención a una brecha en este ámbito.
Pero este es el caso más sencillo, conocer realmente todas las interacciones que nuestra empresa tiene con el entorno es una tarea que implica un aumento de conciencia respecto de los recursos y los datos que manejamos. Es por eso que tener áreas que se encarguen puntualmente de la investigación ayuda mucho en estas cuestiones para retroalimentar el análisis que puede llegar a hacer un CSIRT, en base al alcance que tienen actualmente.
Otro punto importante a tener en cuenta es que tenemos que proteger la identidad de los usuarios acorde a todas las filtraciones que ocurren, tener motores que nos defiendan de ataques de password spray suelen ser muy útiles a la hora de detectar si las cuentas de los usuarios en el ámbito corporativo están siendo utilizadas en otros sistemas y también si dichas cuentas utilizan contraseñas filtradas recientemente en los correspondientes Data Breach de mayor preponderancia.
¿Qué preguntas debo hacerme?
Entonces ante filtraciones quizás es más importante hacernos una serie de preguntas para evaluar el impacto correspondiente a nuestra empresa y ver si es necesario prestarle o no la debida atención, dentro de los datos debemos procurar siempre tener en cuenta los siguientes puntos, para ser conscientes de nuestra información antes de cuestionarnos la interacción con el Data Breach;
Preguntas previas: