Una banda delictiva rusa ha acumulado la mayor colección conocida de credenciales de Internet robadas, incluidas 1.200 millones de combinaciones de nombre de usuario y contraseña y más de 500 millones de direcciones de correo electrónico, dicen investigadores de seguridad. Los registros, descubiertos por Hold Security, una firma en Milwaukee, incluyen información confidencial. material recopilado de 420,000 sitios web, incluyendo nombres familiares y pequeños sitios de Internet. Hold Security tiene un historial de descubrir hacks importantes, incluido el robo el año pasado de decenas de millones de registros de Adobe Systems. Harold Security no nombró a las víctimas, citando acuerdos de no revelación y una renuencia a nombrar empresas cuyos sitios permanecen vulnerables.
A petición de The New York Times, un experto en seguridad no afiliado a Hold Security analizó la base de datos de credenciales robadas y confirmó que era auténtica. Otro experto en delitos informáticos que revisó los datos, pero no se le permitió hablar públicamente, dijo que algunas grandes empresas sabían que sus registros se encontraban entre la información robada. “Los hackers no solo se dirigieron a las empresas estadounidenses, sino a cualquier sitio web que pudieran obtener , que van desde compañías Fortune 500 hasta sitios web muy pequeños “, dijo Alex Holden, fundador y director de seguridad de la información de Hold Security. “Y la mayoría de estos sitios aún son vulnerables”.
El Sr. Holden, a quien se le paga para consultar sobre la seguridad de los sitios web corporativos, decidió detallar el ataque esta semana para coincidir con las discusiones en una conferencia de la industria y dejar que los muchos sitios pequeños con los que no podrá contactar sepan que deberían ver el problema.
“Las empresas que dependen de nombres de usuario y contraseñas deben desarrollar un sentido de urgencia para cambiar esto“, dijo Avivah Litan, analista de seguridad de la firma de investigación Gartner. Hasta ahora, los delincuentes no han vendido muchos de los registros en línea. En cambio, parecen estar usando la información robada para enviar correo no deseado en las redes sociales como Twitter a instancias de otros grupos, cobrando tarifas por su trabajo. Pero vender más de los registros en el mercado negro sería lucrativo. Mientras que una tarjeta de crédito puede se puede cancelar fácilmente, las credenciales personales como una dirección de correo electrónico, un número de seguridad social o una contraseña se pueden usar para el robo de identidad. Debido a que las personas tienden a usar las mismas contraseñas para diferentes sitios, los delincuentes prueban las credenciales robadas en los sitios web donde se puede obtener información valiosa, como las de los bancos y las casas de bolsa.
Al igual que otras firmas de consultoría de seguridad informática, Hold Security tiene contactos en la comunidad de pirateo criminal y ha estado monitoreando e incluso comunicándose con este grupo en particular por un tiempo.
El anillo de piratería se basa en una pequeña ciudad en el centro sur de Rusia, la región flanqueada por Kazajstán y Mongolia. El grupo incluye menos de una docena de hombres en sus 20 años que se conocen personalmente, no solo de forma virtual. Se cree que sus servidores están en Rusia. “Existe una división del trabajo dentro de la pandilla”, dijo Holden. “Algunos están escribiendo la programación, algunos están robando los datos. Es como si imaginaras una pequeña empresa; todos están tratando de ganarse la vida “. Comenzaron como spammers aficionados en 2011, comprando bases de datos robadas de información personal en el mercado negro. Pero en abril, el grupo aceleró su actividad. El Sr. Holden conjeturó que se asociaron con otra entidad, a la que no identificó, que puede haber compartido técnicas y herramientas de piratería.
Desde entonces, los piratas informáticos rusos han podido capturar credenciales en una escala masiva usando botnets (redes de computadoras zombies que han sido infectadas con un virus informático) para hacer su oferta. Cada vez que un usuario infectado visita un sitio web, los delincuentes ordenan que el botnet pruebe ese sitio web para ver si es vulnerable a una conocida técnica de pirateo conocida como inyección SQL, en la que un hacker ingresa comandos que hacen que una base de datos produzca sus contenidos. . Si el sitio web se muestra vulnerable, los delincuentes marcan el sitio y vuelven más tarde para extraer el contenido completo de la base de datos. “Hicieron una auditoría de Internet”, dijo Holden. Sin embargo, no estaba claro cómo se infectaron las computadoras con la botnet. En julio, los delincuentes pudieron recolectar 4.500 millones de registros, cada uno con nombre de usuario y contraseña, aunque muchos se superpusieron. Después de ordenar los datos, Hold Security encontró que 1,2 mil millones de esos registros eran únicos. Debido a que las personas tienden a usar múltiples correos electrónicos, se filtraron más y descubrieron que la base de datos de los delincuentes incluía alrededor de 542 millones de direcciones de correo electrónico únicas. “La mayoría de estos sitios aún son vulnerables”, dijo Holden, enfatizando que los hackers continúan explotando la vulnerabilidad y recopilar datos.Mr. Holden dijo que su equipo había comenzado a alertar a las empresas víctimas de las infracciones, pero que no había podido llegar a todos los sitios web. Dijo que su empresa también estaba tratando de encontrar una herramienta en línea que les permitiera a las personas realizar pruebas de forma segura para su información en la base de datos.
La revelación se produce cuando los hackers y las compañías de seguridad se reunieron en Las Vegas para la conferencia anual de seguridad Black Hat esta semana. El evento, que comenzó como una pequeña convención de piratas informáticos en 1997, ahora atrae a miles de vendedores de seguridad que comercializan lo último y lo mejor en tecnologías de seguridad. En la conferencia, las empresas de seguridad a menudo publican investigaciones: para establecer nuevos negocios, discutir con colegas o simplemente para jactarse de sus derechos. Sin embargo, para todas las nuevas trampas de seguridad, las violaciones a la seguridad de los datos solo han aumentado, son más frecuentes y costosas. El costo total promedio de una violación de datos a una empresa aumentó un 15 por ciento este año respecto del año pasado, a $ 3.5 millones por infracción, de $ 3.1 millones, según un estudio conjunto realizado en mayo pasado, publicado por el Ponemon Institute, un grupo de investigación independiente. IBM.
En febrero pasado, Holden también descubrió una base de datos de 360 millones de registros para la venta, que fueron recolectados de varias compañías. “La capacidad de atacar está ciertamente por encima de la capacidad de defensa”, dijo Lillian Ablon, investigadora de seguridad en RAND Corporation. “Estamos jugando constantemente este juego del gato y el ratón, pero en última instancia, las empresas simplemente parchan y rezan”.