Las 8 filtraciones de datos más grandes en la industria de servicios financieros
[private]Equipo de ACFCS
3 de septiembre de 2014
La semana pasada, JPMorgan Chase reveló que fue víctima de una violación de datos o “data breach”, situación que pone de relieve una vez más las dificultadas para proteger información en las instituciones financieras en una era de constantes amenazas informáticas.
La investigación sobre la filtración de datos en el mayor banco de Estados Unidos involucra al Servicio Secreto de Estados Unidos y al FBI. Noticias periodísticas hasta la fecha sugieren que los atacantes primero tuvieron acceso a la red de JPMorgan a principios de junio, aunque el ataque no fue detectado hasta mediados de agosto. Grandes volúmenes de datos, incluyendo información de clientes, pueden haber sido desviados a los piratas informáticos, aunque los motivos y los actores detrás del ataque son desconocidos por el momento.
Los bancos, proveedores de tarjetas de pago, procesadores de pago y otras empresas de servicios financieros son siempre blancos atractivos para los ataques cibernéticos, se estima que el 80% de los cuales están vinculados con el crimen organizado. A la luz de la reciente violación de JPMorgan, ACFCS armó una lista con las ocho violaciones de datos conocidas más grandes de compañías de servicios financieros.
Hay muchos criterios diferentes que podrían definir el «tamaño» de una violación de datos, incluyendo el número de registros perdidos, el número de clientes afectados y las pérdidas involucradas. Todos estos indicadores requieren un grado de conjeturas por parte de la institución, el regulador o la agencia ley que revela la violación de los datos. Esta lista clasifica las filtraciones por el número de registros de clientes o documentos con información sensible que se reportó perdido. Se centra en ataques distintos o incidentes relacionados con las instituciones financieras por el mismo autor, en lugar de los llamados «vertederos» en la que grandes volúmenes de datos confidenciales a menudo robados de varias instituciones se suben para la venta en los sitios de ciberdelito.
Analizando la lista, surge un punto claro. Las Instituciones enfrentan una serie de amenazas de la ciberdelincuencia, y deben ser conscientes tanto de sus vulnerabilidades de seguridad cibernética internas como externas. Mientras que muchas violaciones involucran ataques externos a la red, varios empleados de las instituciones involucradas, incluyendo a contratistas y otros terceros relacionados expusieron los datos por negligencia o robo intencional. Los ciberatacantes también pueden tener diversos motivos, desde delincuentes que buscan un rédito económico hasta «hacktivistas» que irrumpen en las redes para demostrar algo. El motivo más común sigue siendo la ganancia económica. Los criminales cibernéticos están robando los datos de los bancos porque allí es donde todavía está el dinero.
Organización | Registros filtrados | País | Fecha en que se hizo público
Heartland Payments Systems, 134 millones, EEUU, 1/2009
La violación de los datos de Heartland fue una de las primeras en lograr una importante atención del público, y todavía se cree que es la más grande filtración de datos que haya impactado directamente a una compañía de servicios financieros. En ese momento, Heartland era el quinto procesador de pagos para proveedores de tarjetas más grande de EEUU, administraba más de 100 millones de transacciones todos los meses. La violación fue ideada por un grupo de hackers, que inicialmente penetraron la red de Heartland a través de una técnica que se llama una inyección SQL, luego subieron malware que capturó la información de tarjetas de crédito a medida que se procesaban los pagos. Heartland sufrió un golpe importante a su reputación después de la violación y se vio obligado a modificar completamente su estrategia de seguridad. La compañía pagó más de US$ 145 millones en compensación por pagos fraudulentos derivados de la sustracción de datos. (Con información de Comodo)
KB Financial Group, NongHyup Card y Lotte Card, 104 millones (15 – 60 millones de clientes), Corea del Sur, 1/2014
Una de las mayores filtraciones provocó enormes repercusiones para algunas de las mayores instituciones financieras de Corea del Sur. El gran robo de datos fue perpetrado por un solo empleado de la Oficina de Crédito de Corea (Korea Credit Bureau), una firma de calificaciones que las empresas habían contratado para mejorar la seguridad de los datos. 104 millones de registros se perdieron, y se estima que el impacto económico fue de entre 15 y 60 millones de dólares. Los CEO de Kookmin Bank y su filial de tarjetas de pago Kookmin Card presentaron sus renuncias, junto con los CEO de NongHyup Card y Lotte Card. La filtración también dio lugar a una ola de demandas presentadas por los clientes en los tribunales de Seúl, a pesar de las promesas por parte de las instituciones de que iban a recompensar a sus clientes por las pérdidas relacionadas con el fraude resultante de robo de información privada. La Comisión de Servicios Financieros de Corea del Sur suspendió durante 3 meses las operaciones de las redes de tarjetas de pago de las compañías, y advirtió que las empresas de servicios financieros del país enfrentarían severas sanciones si no mejoraban sus políticas de seguridad cibernética. (Con información de Korea Herald y The New York Times.
Global Payments Inc., 950.000 – 1,5 millones, EEUU, 3/2012
Los hackers detrás del robo de datos de Global Payments incluyen algunos de los mismos miembros de la banda de la ciberdelincuencia llamada «Shadowcrew,» que llevó a cabo el ataque contra Heartland Payments Systems en 2009. En julio del año pasado, la oficina del fiscal federal en Nueva Jersey acusó a cinco hombres en relación con los dos ataques, entre ellos cuatro rusos y un ucraniano. Con base en los detalles revelados en la acusación, las tácticas usadas para filtrar en Global eran muy similares a las que se utilizaron en Heartland. Los cinco presuntos delincuentes no han respondido a la acusación y continúan prófugos, situación que destaca el desafío de perseguir cibercriminales a través de fronteras nacionales. La filtración de datos le costó a Global casi US$ 94 millones en pérdidas y medidas de cumplimiento.
20 bancos iraníes, 3 millones, Irán, 4/2012
Una filtración importante que impactó a la mayoría de las principales instituciones financieras de Irán no provino de la ciberdelincuencia organizada, sino de un empleado de un proveedor de tecnología de pago que estaba tratando de demostrar un punto sobre la seguridad cibernética. Khosrow Zare Farid, quien entonces se desempeñaba como gerente de una compañía llamada Eniak Tech, descubrió una falla de seguridad en la red de pago utilizada por las instituciones iraníes. Luego de que varios reportes de la falla fueron ignorados por las instituciones, Zare Farid tomó el asunto en sus propias manos, y robó tres millones de números de tarjetas de crédito y débito de 20 bancos y los publicó en su blog. En respuesta, los bancos emitieron advertencias a los clientes y cancelaron algunas tarjetas. El incidente demuestra el auge del llamado «hacktivismo», como otra amenaza potencial para la violación de los datos. (Con información de DataBreachToday y TechWeekEurope)
NongHyup Life, 350.000, Corea del Sur, 4/2014
Una de las compañías de seguros más grandes de Corea del Sur, NonHyup Life expuso 350.000 documentos con datos confidenciales de los clientes a principios de este año después de que los trabajadores de un contratista subieran esta información a sus computadoras portátiles personales. Irónicamente, la empresa había contratado a la tercera compañía para que la ayudara a construir los controles de seguridad de red para protegerse del fraude de seguros. NonHyup fue sancionada por el organismo regulador financiero de Corea del Sur por no revelar la violación, a pesar de haberla descubierto meses antes.
Morningstar, 184.000, EEUU, 7/2013
Morningstar, una firma de investigación y de gestión con operaciones globales, perdió los registros de más de 180.000 clientes el año pasado en una filtración de documentos de la empresa. Los registros perdidos incluyen nombres de clientes, direcciones, contraseñas, y un pequeño número de tarjetas de crédito. Morningstar se ha mantenido hermético sobre la forma en que fue víctima de la violación, un enfoque que a menudo es criticado por expertos en ciberseguridad, que argumentan que las empresas deben compartir detalles sobre las filtraciones con el fin de ayudar a otros a identificar las vulnerabilidades y las tácticas de cibercrimen. Mientras que solo 2.300 clientes habían expuesto su información de tarjeta de crédito, los otros datos personales podrían ser utilizados en ataques de ingeniería social como «spear-phishing». (Con información de Security Week).
Citigroup, 360.000, EEUU, 6/2011
Al igual que muchas instituciones de Estados Unidos, Citigroup ha sido víctima de una serie de violaciones de datos en los últimos años. La filtración más grande fue en 2011, cuando los hackers tuvieron acceso a cientos de miles de cuentas de tarjetas de crédito y débito de los clientes que utilizan una técnica conocida como “query string modification” (modificación cadena de consulta). La técnica permitió a los hackers el acceso a cuentas en línea sin necesidad de incluir nombres de usuario y contraseñas. Citigroup fue demandado por los fiscales de Connecticut y California, que criticaron al banco por no haber prevenido un ataque “prevenible” y dijeron que Citigroup esperó más de dos semanas antes de hacer frente a las fallas de seguridad después de detectarlas. Citigroup sería golpeado con otra violación dos años más tarde. Una falla en un programa de software del banco que era utilizado para eliminar información confidencial de sus clientes en documentos legales dio lugar a que los datos personales de cerca de 150.000 clientes fueran subidos al sitio de documentos judiciales llamado PACER.gov. (Con información de BankInfoSecurity).
TotalBank, 72.500, EEUU, 7/2014
El más reciente en esta lista es la institución financiera de Florida TotalBank, que reveló que un tercero desconocido había accedido a su red el mes pasado, poniendo las cuentas de más de 72.000 clientes en riesgo de exposición. Los datos que pueden haberse perdido incluyen nombres de clientes, información de contacto, números de cuenta y PIN, e incluso de identificación fiscal y número de licencia de conducir. Debido a que la investigación está en curso, relativamente poco se ha revelado sobre quién está detrás de la violación. (Con infomación de BankInfoSecurity).[/private]