Privileged Access Management

Hackeo a Deloitte: Una lección sobre la Gestión de las Cuentas Privilegiadas

Las alarmas sobre nuevas violaciones de datos a importantes empresas suenan día tras día. Una de estas víctimas ha sido Deloitte, que recientemente anunció que su base de datos de correo electrónico había sido infiltrada por agentes externos malignos. Estos ganaron acceso a todo su contenido, incluidos correos confidenciales, documentos adjuntos, direcciones de IP, credenciales de acceso, y mucho más.

Esta grave violación de datos sorprendió a la comunidad cibernética, no solo porque Deloitte es una auditoría y consultora líder en el mercado, sino también debido a que esta organización acababa de ser clasificada por Gartner como la mejor consultora de seguridad por quinto año consecutivo (en función de los ingresos).

La violación a Deloitte permitió el acceso de agentes malignos a correos confidenciales y otros datos de empresas importantes

Hackeo a Deloitte: Lo que sabemos

¿Cómo sucedió?

La violación de datos se produjo en otoño de 2016 y Deloitte no la descubrió hasta marzo de 2017. Durante este periodo de tiempo, la consultora estuvo migrando sus correos desde su antiguo software al Office 365, y en aquel entonces no disponía de su actual autenticación de dos factores.

Según las primeras investigaciones, los hackers lograron infiltrar el programa de correo electrónico al ganar acceso a una cuenta de administrador. Esta cuenta privilegiada proporcionó a los ciberdelincuentes acceso a todos los datos que se encontraban dentro del software, incluido el contenido de correos, documentos adjuntos, datos de inicio de sesión, y mucho más.

A través de la infiltración de una cuenta administrativa, los hackers pudieron ganar acceso completo a todo el sistema de correo de Deloitte, incluidos documentos adjuntos, direcciones de IP e información de inicio de sesión.

Cuando aparecieron las primeras noticias sobre este incidente, Deloitte aseguró que tan solo había afectado a seis clientes. Sin embargo, esta cifra pronto se elevó a 350. Puesto que no había ningún tipo de registro o rastreo sobre lo que los hackers habían hecho en el sistema, no hubo forma de saber a qué información accedieron o cuál robaron. Además, como en aquel momento Deloitte estaba en transición entre sistemas de correo electrónico, cualquier tipo de investigación forense habría sido prácticamente imposible. Aunque el incidente ya haya sido controlado, el hecho de que los hackers tengan acceso a tantos datos confidenciales les facilita la elaboración de detallados correos electrónicos de phishing para conseguir que los empleados y otras personas divulguen aún más información.

¿A quién le ha afectado?

Uno de los mayores problemas de esta violación de datos es la cantidad de clientes importantes que tiene Deloitte. Pese a que no se ha dado el nombre de todas las empresas víctimas de esta violación de datos, algunas de las organizaciones cuya información confidencial pudo haber sido hackeada son:

· El Departamento de Defensa de EE. UU.	· La FIFA
· El Departamento de Estado de EE. UU.	· Bancos mundiales
· El Departamento de Energía de EE. UU.	· Aerolíneas internacionales
· El Departamento de Seguridad Nacional	· Fabricantes de automóviles
· Institutos nacionales de salud	· Empresas energéticas
· El Servicio Postal de EE. UU.	· Fabricantes de productos farmacéuticos
· Las Naciones Unidas

¿Por qué Deloitte fue atacado?

Todos sabemos que las violaciones de datos se producen todo el tiempo, pero parece que los ataques a grandes empresas se están volviendo cada vez más habituales. Los hackers simplemente siguen la pista al dinero, ya que la información confidencial puede venderse en la Dark Web a cambio de grandes sumas de dinero. Una empresa de la magnitud de Deloitte también tiene acceso al tipo de información confidencial que puede afectar las decisiones de grandes negocios y ser usada como información privilegiada.

La información confidencial que se destapó en esta violación de datos pudo ser vendida en la Dark Web o usada como información privilegiada.

¿Algo más? La información que se extrajo en este ciberataque, cuyo alcance no conocemos al completo, hace que cualquier futuro ataque sea más sencillo de perpetrar. Los hackers pueden adaptar los correos electrónicos estratégicos de phishing y dirigirlos, o bien a los empleados de Deloitte, o bien a los empleados de cualquiera de las empresas afectadas. La razón es que, si los hackers saben exactamente qué decir, será más probable que los empleados desvelen aún más información.

Esta catástrofe pudo haberse evitado

Si Deloitte hubiera contado con una infraestructura de seguridad adecuada, esta violación podría haberse prevenido. La raíz de este ciberataque radicó en que no se disponía de control o visibilidad sobre la cuenta administrativa de correo, la cual era una cuenta privilegiada. Dado que esta cuenta tenía los permisos necesarios para acceder a todos los sistemas, los usuarios privilegiados podían obtener cualquier dato que quisieran y cuando quisieran y, además, ocultar después las pruebas. Lo que Deloitte debería haber tenido es un sistema de Gestión de Cuentas Privilegiadas implementado.

La Gestión de Cuentas Privilegiadas pudo haber evitado la violación de datos a Deloitte.

La Gestión de Cuentas Privilegiadas con WALLIX

WALLIX Bastion proporciona a las organizaciones una solución de Gestión de Cuentas Privilegiadas (también conocida como «Gestión del Acceso Privilegiado» o PAM) para evitar violaciones de esta dimensión. Esta tecnología incluye todas las herramientas que las organizaciones necesitan para tener un control y visibilidad completos de todos los usuarios, incluidos los usuarios privilegiados. Aunque las cuentas administrativas sigan utilizándose, estas no pueden realizar ninguna acción sin que sea grabada.

Este tipo de solución habría permitido que Deloitte conociera la información a la que los hackers accedieron y alteraron, impidiéndoles ocultar su rastro. Además, aunque los ciberdelincuentes hubieran logrado infiltrar el sistema, los equipos de seguridad habrían sido avisados por medio de múltiples alarmas y la violación podría haber sido subsanada en horas en lugar de meses.

La Gestión del Acceso Privilegiado habría avisado a los equipos de seguridad de que se estaba produciendo una actividad sospechosa, lo que les habría permitido detener la violación en cuestión de horas, y no de meses.

Una típica solución de Gestión del Acceso Privilegiado incluye un Password Manager, un Access Manager y un Session Manager, que funcionan juntos para proteger a sus datos y sistemas críticos de infiltrados y agentes externos malignos. WALLIX PAM crea pistas de auditoría inalterables y completas que ayudan a los equipos de seguridad a entender todo aquello que ocurre dentro de un sistema. Asimismo, esta solución facilita la conformidad con la normativa.

WALLIX Bastion permite a las organizaciones:

Monitorear toda la actividad en tiempo real
Grabar todas las sesiones para su posterior revisión y búsqueda (utilizando una tecnología de reconocimiento óptico de caracteres)
Proteger cuentas privilegiadas de los usos no autorizados
Evitar la escalada de privilegios
Cumplir con la normativa
Mantener las contraseñas ocultas en un vault cifrado
Aplicar políticas de contraseñas
Monitorear el acceso de todos los usuarios
Avisar a los equipos de seguridad de potenciales vulnerabilidades o violaciones que se estén produciendo

La Gestión de las Cuentas Privilegiadas proporciona a las organizaciones una visibilidad y control completos de sus datos y sistemas críticos.

Hackeo a Deloitte: no deje que le ocurra a su organización

Una solución de Gestión de Cuentas Privilegiadas es la mejor forma de aumentar la seguridad de su organización y evitar que se produzcan graves violaciones de datos. Esta tecnología le permite tener un control y visibilidad completos de todo lo que sucede en su organización. Asimismo, los registros completos y las pistas de auditoría inalterables le ayudan a cumplir fácilmente con la normativa, así como comprender en qué puntos sus sistemas son vulnerables. La Gestión de las Cuentas Privilegiadas es la solución que todas las organizaciones necesitan para proteger los datos de los hackers.

Utilice WALLIX Bastion para proteger a su organización de ciberataques y violaciones de datos.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Hackeo a Deloitte: Una lección sobre la Gestión de las Cuentas Privilegiadas

Hackeo a Deloitte: Lo que sabemos

¿Cómo sucedió?

¿A quién le ha afectado?

¿Por qué Deloitte fue atacado?

Esta catástrofe pudo haberse evitado

La Gestión de Cuentas Privilegiadas con WALLIX

Hackeo a Deloitte: no deje que le ocurra a su organización

Usuarios privilegiados: Por qué su monitoreo continuo es fundamental

Los beneficios de una Plataforma de Gestión de Accesos

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca