Hackeo a Deloitte: una lección sobre la Gestión de las Cuentas Privilegiadas

Las alarmas sobre nuevas violaciones de datos a importantes empresas suenan día tras día. Una de estas víctimas ha sido Deloitte, que recientemente anunció que su base de datos de correo electrónico había sido infiltrada por agentes externos malignos. Estos ganaron acceso a todo su contenido, incluidos correos confidenciales, documentos adjuntos, direcciones de IP, credenciales de acceso, y mucho más.

Esta grave violación de datos sorprendió a la comunidad cibernética, no solo porque Deloitte es una auditoría y consultora líder en el mercado, sino también debido a que esta organización acababa de ser clasificada por Gartner como la mejor consultora de seguridad  por quinto año consecutivo (en función de los ingresos).

La violación a Deloitte permitió el acceso de agentes malignos a correos confidenciales y otros datos de empresas importantes

Hackeo a Deloitte: Lo que sabemos

¿Cómo sucedió?

La violación de datos se produjo en otoño de 2016 y Deloitte no la descubrió hasta marzo de 2017. Durante este periodo de tiempo, la consultora estuvo migrando sus correos desde su antiguo software al Office 365, y en aquel entonces no disponía de su actual autenticación de dos factores.

Según las primeras investigaciones, los hackers lograron infiltrar el programa de correo electrónico al ganar acceso a una cuenta de administrador. Esta cuenta privilegiada proporcionó a los ciberdelincuentes acceso a todos los datos que se encontraban dentro del software, incluido el contenido de correos, documentos adjuntos, datos de inicio de sesión, y mucho más.

A través de la infiltración de una cuenta administrativa, los hackers pudieron ganar acceso completo a todo el sistema de correo de Deloitte, incluidos documentos adjuntos, direcciones de IP e información de inicio de sesión

Cuando aparecieron las primeras noticias sobre este incidente, Deloitte aseguró que tan solo había afectado a seis clientes. Sin embargo, esta cifra pronto se elevó a 350. Puesto que no había ningún tipo de registro o rastreo sobre lo que los hackers habían hecho en el sistema, no hubo forma de saber a qué información accedieron o cuál robaron. Además, como en aquel momento Deloitte estaba en transición entre sistemas de correo electrónico, cualquier tipo de investigación forense habría sido prácticamente imposible. Aunque el incidente ya haya sido controlado, el hecho de que los hackers tengan acceso a tantos datos confidenciales les facilita la elaboración de detallados correos electrónicos de phishing para conseguir que los empleados y otras personas divulguen aún más información.

¿A quién le ha afectado?

Uno de los mayores problemas de esta violación de datos es la cantidad de clientes importantes que tiene Deloitte. Pese a que no se ha dado el nombre de todas las empresas víctimas de esta violación de datos, algunas de las organizaciones cuya información confidencial pudo haber sido hackeada son:

·       El Departamento de Defensa de EE. UU. ·       La FIFA
·       El Departamento de Estado de EE. UU. ·       Bancos mundiales
·       El Departamento de Energía de EE. UU. ·       Aerolíneas internacionales
·       El Departamento de Seguridad Nacional ·       Fabricantes de automóviles
·       Institutos nacionales de salud ·       Empresas energéticas
·       El Servicio Postal de EE. UU. ·       Fabricantes de productos farmacéuticos
·       Las Naciones Unidas

 ¿Por qué Deloitte fue atacado?

Todos sabemos que las violaciones de datos se producen todo el tiempo, pero parece que los ataques a grandes empresas se están volviendo cada vez más habituales. Los hackers simplemente siguen la pista al dinero, ya que la información confidencial puede venderse en la Dark Web a cambio de grandes sumas de dinero. Una empresa de la magnitud de Deloitte también tiene acceso al tipo de información confidencial que puede afectar las decisiones de grandes negocios y ser usada como información privilegiada.

La información confidencial que se destapó en esta violación de datos pudo ser vendida en la Dark Web o usada como información privilegiada

¿Algo más? La información que se extrajo en este ciberataque, cuyo alcance no conocemos al completo, hace que cualquier futuro ataque sea más sencillo de perpetrar. Los hackers pueden adaptar los correos electrónicos estratégicos de phishing y dirigirlos, o bien a los empleados de Deloitte, o bien a los empleados de cualquiera de las empresas afectadas. La razón es que, si los hackers saben exactamente qué decir, será más probable que los empleados desvelen aún más información.

Esta catástrofe pudo haberse evitado

Si Deloitte hubiera contado con una infraestructura de seguridad adecuada, esta violación podría haberse prevenido. La raíz de este ciberataque radicó en que no se disponía de control o visibilidad sobre la cuenta administrativa de correo, la cual era una cuenta privilegiada. Dado que esta cuenta tenía los permisos necesarios para acceder a todos los sistemas, los usuarios privilegiados podían obtener cualquier dato que quisieran y cuando quisieran y, además, ocultar después las pruebas. Lo que Deloitte debería haber tenido es un sistema de Gestión de Cuentas Privilegiadas implementado.

La Gestión de Cuentas Privilegiadas pudo haber evitado la violación de datos a Deloitte

La Gestión de Cuentas Privilegiadas con WALLIX

WALLIX Bastion proporciona a las organizaciones una solución de Gestión de Cuentas Privilegiadas (también conocida como «Gestión del Acceso Privilegiado» o PAM) para evitar violaciones de esta dimensión. Esta tecnología incluye todas las herramientas que las organizaciones necesitan para tener un control y visibilidad completos de todos los usuarios, incluidos los usuarios privilegiados. Aunque las cuentas administrativas sigan utilizándose, estas no pueden realizar ninguna acción sin que sea grabada.

Este tipo de solución habría permitido que Deloitte conociera la información a la que los hackers accedieron y alteraron, impidiéndoles ocultar su rastro. Además, aunque los ciberdelincuentes hubieran logrado infiltrar el sistema, los equipos de seguridad habrían sido avisados por medio de múltiples alarmas y la violación podría haber sido subsanada en horas en lugar de meses.

La Gestión del Acceso Privilegiado habría avisado a los equipos de seguridad de que se estaba produciendo una actividad sospechosa, lo que les habría permitido detener la violación en cuestión de horas, y no de meses

Una típica solución de Gestión del Acceso Privilegiado incluye un Password Managerun Access Manager y un Session Manager, que funcionan juntos para proteger a sus datos y sistemas críticos de infiltrados y agentes externos malignos. WALLIX PAM crea pistas de auditoría inalterables y completas que ayudan a los equipos de seguridad a entender todo aquello que ocurre dentro de un sistema. Asimismo, esta solución facilita la conformidad con la normativa.

WALLIX Bastion permite a las organizaciones:

  • Monitorear toda la actividad en tiempo real
  • Grabar todas las sesiones para su posterior revisión y búsqueda (utilizando una tecnología de reconocimiento óptico de caracteres)
  • Proteger cuentas privilegiadas de los usos no autorizados
  • Evitar la escalada de privilegios
  • Cumplir con la normativa
  • Mantener las contraseñas ocultas en un vault cifrado
  • Aplicar políticas de contraseñas
  • Monitorear el acceso de todos los usuarios
  • Avisar a los equipos de seguridad de potenciales vulnerabilidades o violaciones que se estén produciendo
La Gestión de las Cuentas Privilegiadas proporciona a las organizaciones una visibilidad y control completos de sus datos y sistemas críticos

Hackeo a Deloitte: no deje que le ocurra a su organización

Una solución de Gestión de Cuentas Privilegiadas es la mejor forma de aumentar la seguridad de su organización y evitar que se produzcan graves violaciones de datos. Esta tecnología le permite tener un control y visibilidad completos de todo lo que sucede en su organización. Asimismo, los registros completos y las pistas de auditoría inalterables le ayudan a cumplir fácilmente con la normativa, así como comprender en qué puntos sus sistemas son vulnerables. La Gestión de las Cuentas Privilegiadas es la solución que todas las organizaciones necesitan para proteger los datos de los hackers.

Utilice WALLIX Bastion para proteger a su organización de ciberataques y violaciones de datos