La empresa estadounidense de reparto de comida a domicilio PurFoods, que cotiza como Mom’s Meals, acaba de admitir una ciberintrusión que tuvo lugar del 16/1/23 al 22/2/23.
La empresa declaró oficialmente que:
[El] ciberataque […] incluyó el cifrado de ciertos archivos de nuestra red.
Dado que la investigación identificó la presencia de herramientas que podrían utilizarse para la exfiltración de datos (la transferencia no autorizada de datos), no podemos descartar la posibilidad de que se tomaran datos de uno de nuestros servidores de archivos.
PurFoods afirma que se ha puesto en contacto con todas las personas afectadas, o al menos con todas aquellas cuyos datos aparecían en uno o varios de los archivos codificados, que suponemos son los archivos que la empresa cree que los atacantes habrían robado, si es que se filtraron datos.
Qué está en peligro
La empresa no dijo cuántas personas se vieron afectadas por este incidente, pero un informe reciente de la web de noticias sobre TI The Register cifra el total en más de 1.200.000 individuos.
PurFoods enumeró a los afectados como:
Clientes de PurFoods que recibieron una o más entregas de comida, así como algunos empleados actuales y antiguos, y contratistas independientes.
La información de los archivos incluía fecha de nacimiento, número de carné de conducir/identificación estatal, información de la cuenta financiera, información de la tarjeta de pago, número del historial médico, identificación de Medicare y/o Medicaid, información sanitaria, información sobre el tratamiento, código de diagnóstico, categoría y/o coste de la comida, información del seguro médico y número de identificación del paciente.
Los números de la Seguridad Social [SSN] estaban implicados en menos del 1% de los [individuos], la mayoría de los cuales son internos de PurFoods.
Suponemos que la empresa no recopilaba los SSN de los clientes, aunque es de esperar que necesitara los datos de los SSN de los empleados, razón por la cual los SSN en riesgo figuran como “internos”.
Pero si te preguntas por qué una empresa de reparto de comida necesitaría recopilar datos médicos de los clientes, incluida información sobre su salud y tratamientos, lo único que podemos decir es que nosotros también nos lo preguntamos.
Al parecer, la empresa está especializada en proporcionar comidas a personas con necesidades dietéticas específicas, como las que padecen diabetes, problemas renales y otras afecciones médicas, para las que hay que elegir cuidadosamente los ingredientes de los alimentos.
Por tanto, Mom’s Meals necesita datos médicos de algunos de sus clientes, sino de todos, y esos datos estaban mezclados con muchos otros datos de identificación personal (IPI) que ahora pueden estar en manos de ciberdelincuentes.
¿Qué hacer?
Si eres uno de los más de un millón de clientes afectados:
- Considera la posibilidad de sustituir tu tarjeta de pago, si la tuya figuraba como posiblemente robada. La mayoría de los bancos emitirán rápidamente nuevas tarjetas de pago, invalidando así automáticamente tu antigua tarjeta e inutilizando los datos de la antigua para cualquiera que los tenga ahora o los compre más tarde en la web oscura.
- Vigila atentamente tus extractos. Deberías hacerlo de todos modos, para detectar las anomalías lo antes posible, pero merece la pena vigilar más de cerca lo que ocurre con tus cuentas financieras si hay indicios de que podrías correr un riesgo mayor de lo habitual de robo de identidad o abuso de tarjetas.
- Considera la posibilidad de congelar tu crédito. Esto añade una capa adicional de autorización por tu parte, necesaria antes de que se pueda revelar a nadie nada de tu informe crediticio. Esto dificulta a los delincuentes la obtención de préstamos, tarjetas de crédito y similares a tu nombre (aunque, obviamente, también dificulta y, por tanto, tarda más que obtengas un nuevo préstamo, tarjeta de crédito o hipoteca). Por desgracia, activar la congelación del crédito significa que tienes que enviar una gran cantidad de información personal, incluida una copia de tu documento de identidad con fotografía y tu número de Seguro Social, a una de las tres agencias de crédito principales.
Si eres una empresa que maneja IIP vital de este tipo:
- Actúa inmediatamente cuando detectes cualquier anomalía en tu red. En este ataque, los delincuentes estuvieron aparentemente dentro de la red de PurFoods durante más de un mes, pero solo se les descubrió después de haber llegado a cifrar archivos, presumiblemente como base para extorsionar a la empresa.
- Considera la posibilidad de utilizar un servicio de Detección y Respuesta Gestionadas (MDR) si no puedes hacerlo por tu cuenta. Las buenas herramientas de caza de amenazas no solo buscan y evitan la activación de malware, sino que también te ayudan a detectar puntos débiles en tu red, como ordenadores desprotegidos o sin parches, y a identificar y aislar comportamientos que suelen observarse en la fase previa a un ataque en toda regla. Contar con expertos en caza de amenazas en todo momento hace mucho más probable que detectes cualquier señal de peligro antes de que sea demasiado tarde.
- Sé lo más rápido y transparente que puedas en cualquier notificación de violación de datos. A pesar de la sugerencia de que se trató de un ataque doble de robo de datos y cifrado, conocido en la jerga como doble extorsión, PurFoods no ha dejado claro lo que ocurrió realmente, a pesar de que la empresa tardó varios meses en investigar y publicar su informe. Por ejemplo, seguimos sin saber si la empresa recibió alguna demanda de chantaje, si hubo alguna “negociación” con los atacantes, o si cambió algún dinero de manos a cambio de silenciar el incidente o de volver a comprar claves de descifrado para recuperar los archivos codificados.
Según los datos del último informe de Sophos Active Adversary, el tiempo medio de permanencia en los ataques de ransomware (el tiempo que transcurre entre que los delincuentes irrumpen por primera vez en tu red y se ponen en situación de comprometer todos tus archivos en un ataque simultáneo) es ahora de solo 5días.
Eso significa que, si tu empresa es “elegida” por los delincuentes del ransomware para su próximo ataque, hay más de un 50% de probabilidades de que tengas menos de una semana para descubrir a los delincuentes preparándose a hurtadillas para la catástrofe de tu red.
Peor aún, es probable que el martillazo final de los atacantes de ransomware se produzca en un momento muy inoportuno para tu propio equipo informático, ya que el desenlace de la destrucción de archivos suele producirse entre las 21:00 y las 06:00 (de 21:00 a 06:00) en tu zona horaria local.
Parafraseando al Sr. Miagi de Karate Kid: la mejor manera de evitar un golpe es estar ahí todo el tiempo, controlando y reaccionando tan pronto como puedas.