See Tickets es uno de los principales actores mundiales en el negocio de la venta de entradas para eventos en línea: te venden entradas para festivales, espectáculos teatrales, conciertos, clubes y mucho más.
La empresa acaba de admitir una importante filtración de datos. Según la plantilla de correo electrónico que See Tickets utilizó para generar el mailshot que se envió a los clientes (gracias a Phil Muncaster de Infosecurity Magazine por un enlace a la página web del Departamento de Justicia de Montana para obtener una copia oficial), la brecha, su descubrimiento, su investigación y su remediación (que aún no han terminado) se desarrolló de la siguiente manera:
- 2019-06-25. En esta fecha, los ciberdelincuentes aparentemente ya habían implantado un malware de robo de datos en las páginas de pago de eventos gestionadas por la empresa. (Los datos en riesgo incluían: nombre, dirección, código postal, número de tarjeta de pago, fecha de caducidad de la tarjeta y número CVV).
- 2021-04. See Tickets “se alertó de una actividad que indicaba un posible acceso no autorizado”.
- 2021-04. Se inicia una investigación en la que participa una empresa de ciberseguridad.
- 2022-01-08. La actividad no autorizada se cierra finalmente.
- 2022-09-12. See Tickets concluye finalmente que el ataque “puede haber dado lugar a un acceso no autorizado” a la información de las tarjetas de pago.
- 2022-10. (Investigación en curso.) See Tickets dice que “no estamos seguros de que su información se haya visto afectada”, pero lo notifica a los clientes.
En pocas palabras, la filtración duró más de dos años y medio antes de que fuera detectada, pero no por la propia See Tickets.
La brecha continuó durante nueve meses más antes de que se detectara y corrigiera adecuadamente, y se expulsara a los atacantes.
La empresa esperó otros ocho meses antes de aceptar que los datos “podrían” haber sido robados.
See Tickets esperó un mes más antes de notificar a los clientes, admitiendo que todavía no sabía cuántos clientes habían perdido datos en el ataque.
Incluso ahora, más de tres años después de la primera fecha en la que se sabe que los atacantes estuvieron en los sistemas de See Ticket (aunque el trabajo de base para el ataque puede haber sido anterior a esto, por lo que sabemos), la compañía todavía no ha concluido su investigación, por lo que todavía puede haber más malas noticias por venir.
¿Y ahora qué?
El correo electrónico de notificación de See Tickets incluye algunos consejos, pero está dirigido principalmente a decirte lo que puedes hacer para mejorar tu ciberseguridad en general.
En cuanto a decirte lo que la propia empresa ha hecho para compensar esta larga violación de la confianza y de los datos de los clientes, todo lo que ha dicho es: “Hemos tomado medidas para desplegar protecciones adicionales en nuestros sistemas, incluyendo el fortalecimiento de nuestro monitoreo de seguridad, autenticación y codificación.”
Teniendo en cuenta que See Tickets fue alertado de la brecha por otra persona, después de no darse cuenta durante dos años y medio, te puedes imaginar que no se necesita mucho para que la empresa pueda afirmar que ha “fortalecido” el control de seguridad.
En cuanto a los consejos que See Tickets ha dado a sus clientes, se reducen a dos cosas: comprueba regularmente tus estados financieros y ten cuidado con los correos electrónicos de phishing que intentan engañarte para que entregues información personal.
Estas son buenas sugerencias, por supuesto, pero protegerse de la suplantación de identidad no habría servido de nada en este caso, dado que los datos personales robados se tomaron directamente de páginas web legítimas que los clientes cuidadosos se habrían asegurado de visitar en primer lugar.
¿Qué hacer?
Asegúrate que tus propios procedimientos de detección y respuesta a las amenazas siguen el ritmo de las TTP (herramientas, técnicas y procedimientos) del cibermundo.
Los delincuentes están evolucionando continuamente los trucos que utilizan, que van mucho más allá de la técnica de la vieja escuela de simplemente escribir nuevo malware.
De hecho, hoy en día muchos compromisos apenas (o no) utilizan malware, siendo lo que se conoce como ataques dirigidos por humanos en los que los delincuentes tratan de apoyarse en la medida de lo posible en las herramientas de administración de sistemas que ya están disponibles en tu red.
Los delincuentes disponen de una amplia gama de TTP no sólo para ejecutar código malicioso, sino también para:
- Entrar en la red para empezar el ataque.
- Recorrer la red silenciosamente una vez que han entrado.
- Pasar desapercibido el mayor tiempo posible.
- Trazar un mapa de la red y sus convenciones de nomenclatura tan bien como usted mismo las conoce.
- Establecer formas furtivas de volver a entrar en la red en caso de que los eches.
Este tipo de atacante es generalmente conocido como un adversario activo, lo que significa que a menudo son tan prácticos como sus propios administradores de sistemas, y capaces de mezclarse con las operaciones legítimas tanto como puedan.
No basta con eliminar el malware que los delincuentes puedan haber implantado.
También hay que revisar cualquier configuración o cambio operativo que hayan hecho, por si han abierto una puerta trasera oculta a través de la cual ellos (o cualquier otro delincuente al que vendan sus conocimientos más tarde) puedan volver a entrar a su antojo.
Recuerda, como nos gusta decir, aunque sabemos que es un cliché, que la ciberseguridad es un viaje, no un destino.
Si no tienes suficiente tiempo o experiencia para seguir adelante con ese viaje por su cuenta, no tengas miedo de pedir ayuda con lo que se conoce como MDR (detección y respuesta gestionada), donde se asocia con un grupo de expertos en ciberseguridad de confianza para ayudar a mantener a salvo tus sistemas.