La semana en brechas de seguridad

Norteamérica

Distrito escolar de la comunidad de South Lyon

Los ciberdelincuentes siguen atacando instituciones educativas en Estados Unidos a un ritmo alarmante. La última víctima, South Lyon Community School District, se vio obligada a cerrar las escuelas tras un ataque de ransomware.

Descubierto el 14 de septiembre, se confirmó que el ataque era el resultado de una infección de ransomware llevada a cabo por un grupo conocido, aunque las autoridades aún no han revelado el nombre. Aunque no hay pruebas de que los datos de estudiantes o profesores estuvieran en peligro, el ataque paralizó los sistemas telefónicos y varios subsistemas auxiliares, incluidos aquellos en los que se confía durante emergencias, como las respuestas a tiradores activos.

Este ataque es uno de los muchos que están afectando a los centros educativos de todo el país. Resulta alarmante que, según la organización sin ánimo de lucro Center for Internet Security (CIS), el 82 % de los centros de educación primaria y secundaria sufrieron un incidente cibernético entre julio de 2023 y diciembre de 2024.

Reino Unido

Harrods

Los grandes almacenes de lujo londinenses Harrods han revelado que los datos personales de 430 000 clientes se han visto comprometidos en una filtración de datos. En un correo electrónico enviado a los clientes el 26 de septiembre, la empresa advirtió de que los datos personales podrían haber sido robados tras el ataque a uno de los sistemas de un proveedor externo.

Harrods afirmó que el impacto se limitó a la información básica, como nombres, datos de contacto y preferencias de marketing. La empresa subrayó que las contraseñas de las cuentas y los datos de pago no se vieron afectados. Aunque los atacantes intentaron ponerse en contacto con la empresa, Harrods se negó a dialogar o negociar con el grupo de hackers.

La empresa añadió que se trataba de un «incidente aislado» y que no guardaba relación con otro suceso ocurrido en mayo, cuando restringió el acceso a Internet en todas sus instalaciones tras un intento de acceso no autorizado. No obstante, este supone un nuevo ataque dentro de la oleada de incidentes cibernéticos que recientemente han afectado a empresas británicas de gran relevancia.

Norteamérica

Una agencia anónima del FCEB

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) reveló la semana pasada que, el año pasado, unos atacantes lograron acceder a una agencia federal civil del poder ejecutivo (FCEB) no identificada aprovechando una vulnerabilidad crítica en su servidor de mapas de código abierto GeoServer.

Aunque el ataque se produjo en uno de los servidores de la agencia el 9 de julio de 2024, la herramienta de detección y respuesta en puntos finales (EDR) de la agencia no alertó a su centro de operaciones de seguridad (SOC) hasta tres semanas después. Durante ese tiempo, los atacantes utilizaron técnicas de fuerza bruta para robar contraseñas, escalar privilegios y desplazarse lateralmente para comprometer otros dos servidores.

La vulnerabilidad crítica, que permite la ejecución remota de código (RCE), se dio a conocer el 30 de junio de 2024, con una puntuación CVSS de 9,8. Este ataque se produjo apenas dos semanas después de dicha revelación. A raíz de la filtración, la CISA instó a los equipos de operaciones de seguridad de todas las organizaciones a vigilar de cerca las alertas de EDR en busca de actividades sospechosas y a reforzar los planes de respuesta ante incidentes para contener las filtraciones con mayor rapidez.

Norteamérica

Cisco

Las agencias de ciberseguridad de todo el mundo, entre ellas la CISA y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), han advertido de la existencia de un «actor malicioso avanzado» que está atacando activamente los dispositivos que ejecutan el software de cortafuegos Adaptive Security Appliances (ASA) de Cisco.

Según las agencias, la campaña "generalizada" aprovecha vulnerabilidades de día cero en dispositivos Cisco, lo que permite a los atacantes ejecutar código malicioso y desplegar malware. Entre los equipos afectados se encuentran algunos dispositivos de la serie Cisco ASA 5500-X, que actúan como firewalls protegiendo las redes corporativas de intrusiones.

En un comunicado, los analistas de Cisco afirmaron tener «gran confianza» en que la campaña está relacionada con ArcaneDoor, un actor malicioso patrocinado por un Estado que el proveedor identificó por primera vez en 2024. En una directiva de emergencia emitida el pasado jueves, la CISA ordenó a los equipos cibernéticos del Gobierno que localizaran todos los dispositivos afectados en poco más de un día, los analizaran en busca de actividad maliciosa y aplicaran las actualizaciones de seguridad diseñadas para corregir las vulnerabilidades.

Norteamérica

Volvo Norteamérica

Volvo North America ha revelado una violación de datos que afecta a la información personal de sus empleados después de que un ataque de ransomware afectara a su proveedor externo, Miljödata.

El ataque de ransomware, que tuvo lugar el 20 de agosto, afectó al menos a 25 organizaciones, entre ellas Volvo North America, la aerolínea escandinava SAS y más de 200 municipios suecos. El ataque se dirigió contra sistemas utilizados para certificados médicos, expedientes de rehabilitación y la gestión de accidentes laborales. Los datos expuestos incluían nombres de empleados, números de la Seguridad Social, direcciones de correo electrónico, direcciones postales, números de teléfono, documentos de identidad oficiales, fechas de nacimiento y sexo.

Un grupo de ransomware llamado DataCarry ha reivindicado la autoría del ataque a Miljödata y ya ha publicado supuestamente los datos robados en su sitio de filtraciones Tor.

América del Sur

Maida.salud

En otra filtración de datos de terceros, la empresa brasileña de tecnología sanitaria Maida.health habría expuesto más de 2 TB de datos confidenciales relacionados con la policía militar del país.

Se dice que la empresa, que gestiona software de facturación, reclamaciones de seguros y teleconsulta para proveedores de atención sanitaria —entre los que se incluye la policía militar brasileña—, ha sufrido una filtración que ha puesto en peligro 2,3 TB de datos. Según se informa, la información expuesta incluye diagnósticos médicos, números de identificación y datos personales del personal de la policía militar, lo que suscita una gran preocupación por la seguridad de la información relacionada con la defensa del país. Y lo que es aún más alarmante, los datos robados se han puesto a la venta en un foro clandestino.