Red Seguridad 102

red seguridad tercer trimestre 2023 91 opinión multiplicador sobre todos los clientes que utilizan sus servicios. Supermercados Target Sin embargo, vamos a traer al estrado otros casos muy diferentes. Comenza- remos por la cadena de supermerca- dos Target, que es un claro ejemplo de que el objetivo (curioso que en inglés esto sea el “ target ”) era más fácilmente atacable a través de sus proveedores. Y así, los atacantes llegaron a Fazio Me- chanical, proveedor de sistemas de aire acondicionado y refrigeración para los supermercados, que disponía de acce- so restringido a la red de Target para trámites como facturación electrónica, gestión de proyectos, etcétera. En con- creto, Fazio utilizaba un antivirus gratuito que, además, sólo se podía utilizar por usuarios domésticos, y que fue sobrepa- sado con facilidad, consiguiendo así sus credenciales de acceso a la red de su cliente. Una vez dentro, y con una red no seg- mentada de forma segura, se colaron hasta la cocina y robaron los datos de millones de clientes, incluidas sus tarje- tas de crédito, con unas consecuencias de pérdidas multimillonarias para Target. Y todo ello debido a un proveedor de sis- temas de aire acondicionado… ¿Quién lo iba a pensar? Papeles de Panamá Otro caso muy sonado es el de los fa- mosos “Panama Papers”, ocurrido so- bre el despacho de abogados Mossack Fonseca, en el que se exfiltraron 11,5 millones de documentos que contenían 2,6 terabytes de datos y cubrían casi 40 años de registros de las transacciones y negocios de la firma. WordPress y Dru- pal no actualizados, información con- centrada en un servidor, contraseñas sin actualizar en años y la no vigilancia de ningún tipo de actividad sospechosa en la red (ya que la fuga de información se prolongó durante meses sin que fuese detectada) fueron los motivos. El despacho Mossack Fonseca es lo que en Leet Security consideramos un proveedor de servicios “no conectado”. Es decir, no dispone de conexiones di- rectas con nuestros sistemas, pero de alguna otra manera (vía correo elec- trónico, en muchas ocasiones) se le suministra y dispone de información muy sensible sobre el negocio de sus clientes. Que se lo digan a los más de 14.000 que afloraron como titulares de las empresas constituidas por Mossack Fonseca en paraísos fiscales. Red de salud Finalizamos con otro ejemplo de cade- na: el reciente ataque a Lehigh Valley Health Network, una red que cuenta con 13 hospitales en Pennsylvania, centros de salud comunitarios, consultorios de médicos especialistas y de atención primaria, centros de diagnóstico por imagen, laboratorios y farmacias, entre otros. En febrero de 2023 vio publicadas fotografías sensibles de pacientes de tra- tamientos oncológicos sin el menor es- crúpulo, por parte de los atacantes, para exigir un rescate y evitar la publicación del resto del material robado. En este caso, el ataque se produjo a través del acceso a la red de un consul- torio médico ubicado en una pequeña población. Es por ello que, tras el ata- que, el Centro de Coordinación de Ciber- seguridad en el sector salud en Estados Unidos publicó recomendaciones de buenas prácticas como la autenticación multifactor, deshabilitar accesos remo- tos cuando no estén en uso o realizar una apropiada segmentación de las redes de la organización. A esto añadi- remos el cifrado de la información alta- mente sensible tanto en tránsito como en reposo. Es por ello que las regulaciones rela- cionadas con la ciberseguridad están incluyendo la gestión de riesgos de la cadena de suministro como un com- ponente fundamental. De ahí que, en concreto, en próximas columnas abor- daremos un análisis de cómo se está tratando en las principales normativas, nacionales y europeas, y comentaremos nuevos casos y ejemplos que esperamos resulten de interés.