A finales de enero se ofrecieron en un foro clandestino supuestos datos de unos 50 millones de clientes de Europcar. Europcar reaccionó rápidamente y negó que se tratara de un expediente real.
Los datos no son coherentes ni las direcciones de correo electrónico en particular son conocidas por Europcar. Si bien Europcar sugirió que estos datos se generaron utilizando IA generativa (por ejemplo, ChatGPT), otros investigadores de seguridad opinan que no había ninguna IA trabajando aquí. Lo que todos tienen en común, sin embargo, es la opinión de que estos datos fueron generados por máquinas. Rápidamente surgió en el foro la sospecha de que los datos puestos a la venta no eran auténticos, lo que finalmente llevó al bloqueo del vendedor en el foro. Por muy interesante que pueda parecer la historia a primera vista, una mirada “detrás de la historia” revela otros aspectos interesantes:
Honor entre criminales
Una narrativa en el entorno del ransomware en los últimos años es el supuesto “honor” de los ciberdelincuentes: si pagas por el descifrado, el “honor” de los delincuentes dicta que también entreguen la clave; Sólo "honor" realmente no es la palabra correcta aquí. Renunciar a la llave a cambio de un rescate no tiene nada que ver con el honor. Este es simplemente el instinto comercial de los delincuentes: si se corriera la voz de que no se entregó ninguna llave a pesar del pago, sería perjudicial para el negocio, es decir, puro interés personal y ningún “honor”.
La opinión de que los delincuentes no se engañan entre sí se debe más a una narrativa glorificada de Robin Hood que a los hechos: en el caso anterior, un delincuente intentó engañar a otros delincuentes. Sólo cabe esperar que todavía no haya compradores. Y sólo porque a los compradores se les prohíba acudir al sistema de justicia oficial no significa que no haya que temer consecuencias. En el pasado, acciones similares han conducido a resultados muy dudosos. El “Doxing” (la exposición virtual del estafador pirateando la cuenta de correo electrónico, publicando la dirección real, persoscans, publicando referencias, etc.) es sólo el comienzo. La información de Doxing es la que ves en los foros. No se ve lo que un criminal potencialmente engañado hace con esta información en el mundo real... quizás afortunadamente.
¿Conoces tus datos?
Quizás el aspecto más interesante desde el punto de vista de la defensa sea la reacción de Europcar. Europcar dejó claro rápida y muy claramente que los datos no eran reales. Pero el incidente también muestra que los delincuentes producen datos falsos, ya sea para venderlos (como en este caso) o para chantajear a víctimas potenciales con ellos. Y aquí es exactamente donde las cosas se ponen interesantes. Imagine que una empresa recibe (por ejemplo, después de un incidente de ransomware) otro mensaje de chantaje como “¡Tenemos sus datos! Adjunto un ejemplo. Si no quieres que se publiquen…”.
Y ahora la pregunta crucial: ¿Puede la empresa comprobar (en el momento oportuno) si los datos son reales o no? Cuanto más tiempo lleva el proceso de toma de decisiones, más nerviosa puede volverse la gestión. Y este nerviosismo puede aumentar la probabilidad de que se realice el pago, como una solución a prueba de fallos.
Esto lleva a dos conclusiones importantes para la defensa. En primer lugar, este escenario de ser chantajeado con datos (supuestamente) robados debe incluirse en la evaluación de riesgos. En segundo lugar, también deberían definirse de antemano medidas de reducción de riesgos o medidas de verificación (procesos, derechos de acceso, personas). De lo contrario, puede suceder muy rápidamente que, por ejemplo, el equipo de respuesta a incidentes asignado no pueda verificar los datos con la suficiente rapidez porque, por ejemplo, las bases de datos no son técnicamente accesibles. Otro aspecto, especialmente cuando se trata de datos personales, es sin duda el RGPD. En tal caso, ¿cómo se pueden verificar los datos personales sin violar el RGPD?
Ambas son cosas que se pueden definir con relativa facilidad *de antemano*: en caso de emergencia, el proceso correspondiente se puede llevar a cabo de forma ordenada. Si no se define el proceso, a menudo estalla un gran caos y pánico, con el efecto de que no se puede informar a tiempo si se está chantajeando los datos. Esto, a su vez, aumenta la probabilidad de que los chantajistas paguen.
Dos consejos
1) Prepárese para ser chantajeado con datos (supuestamente) robados.
2) Definir procesos de antemano con los que los servicios de respuesta a incidentes puedan acceder rápida (técnicamente) y legalmente a los datos (leer) en caso de un incidente para verificar la autenticidad de un volcado.
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.
Artículos relacionados con el tema