Caso de Violacin de Seguridad Informtica

Seguridad Informtica

Direccin del artculo: http://blog.seguinfo.com.ar/2009/05/grave-caso-de-phishing-bbvabanco.html#axzz166eq2QWh

El artculo trata de un caso de delito informtico
denominado Phishing que ocurri en la pgina web de la
entidad financiera BBVA en Argentina en el ao 2009. En el
artculo se reporta el delito presente en la pgina en donde
se intentaba engaar al usuario para que introdujera todos
sus datos bancarios en una pgina falsa, pero que era
idntica a la original.
Por otro lado, el artculo seala que se puso en contacto
con la entidad financiera para advertirle del caso pero no
haban recibido respuesta alguna. En ltima instancia, el
artculo seala las graves consecuencias para los
usuarios(los delincuentes pueden realizar transacciones
bancarias con los datos) as como para el servidor (se
demuestra que la pgina es vulnerable y no se encuentra
bloqueado por ningn navegador)

En primer lugar, el principio de seguridad informtica

violado en la historia se refiere a la confidencialidad, que se
refiere a laprivacidad de los elementos de
informacin almacenados y procesados en un sistema
informtico. Este principio fue violado ya que los datos de
una institucin bancaria y sus clientes son confidenciales, y
en ste caso a travs de un delito informtico, los datos se
convirtieron informacin pblica para los delincuentes. El
segundo principio de seguridad informtica violado fue el
deintegridad, este se refiere a la validez y consistencia de
los elementos de informacin almacenados y procesados en
un sistema informtico. Las herramientas de seguridad
informtica debe asegurar que los procesos de actualizacin
estn sincronizados y no se dupliquen, de manera que
todos los elementos del sistema manipulen adecuadamente
los mismos datos. El principio de integridad fue violado ya
que los datos del BBVA Argentina no estaban sincronizados,
stos fueron duplicados y no fueron manipulados
adecuadamente. En tercer lugar, el principio de seguridad
informtica de disponibilidad que se refiere a
la continuidad de acceso a los elementos de
informacin almacenados y procesados en un sistema
informtico,tambin fue violado ya que al entrar al sitio
web del banco, sala un aviso donde se informaban de
supuestos problemas tcnicos de la pgina y luego se
enviaba un correo a los clientes con una nueva pgina de
acceso ( la duplicada). Es decir que la verdadera pgina del
banco no era accesible durante el tiempo en el cual la
pgina falsa exista.

El factor de riesgo en el caso de la institucin bancaria

fue el factor humano, ya que hubo intrusin, sabotaje,
falsificacin y robo de contraseas. El delito informtico
cometido fue el denominadoPhishing , que es la capacidad
de duplicar una pgina web para hacer creer al visitante que
se encuentra en el sitio web original, en lugar del falso.
Normalmente, se utiliza con fines delictivos enviando SPAM
e invitando acceder a la pgina seuelo. El objetivo del
engao es adquirir informacin confidencial del usuario
como contraseas, tarjetas de crdito o datos financieros y
bancarios. Fue exactamente lo previamente descrito lo que
ocurri en el sitio del BBVA.
Por
ltimo,
el mecanismo
de
seguridad
informtica que se ha debido de implementar en la pgina
ha debido de ser preventivo, para actuar antes de que el
delito ocurriera y detener a los delincuentes que queran
robarle los datos a los clientes del banco para luego
extraerles dinero. Para fortalecer la seguridad de la pgina
se ha debido deimplementar un Software para sincronizar
transacciones. Otro mecanismo de seguridad que se ha
debido de haber implementado son los planes de
recuperacin o planes de contingencia para recuperar la
funcionalidad, ya que se interrumpi la actividad del
sistema. Asimismo se ha podido aplicar la Encripcin o
cifrado de datos, con el objetivo de que sean
incomprensibles para cualquier agente no autorizado. De
esta forma se hubieran fortalecido los principios de

seguridad informtica:
disponiblidad.

integridad,

confidencialidad

OTROS CASOS PARA MIRAR:

El robo datos ocurre a diario, sin embargo, hay algunos casos
memorables gracias a su magnitud. S, en nuestra lista est el pasado
ataque masivo a la PS Network pero hay mucho peores ya que el
impacto del ataque no siempre se mide en la cantidad de datos robados,
sino tambin en el tipo de informacin hurtada o en el mtodo utilizado.
Hay casos que tambin fueron de importancia, pero estos son los que
consideramos ms importantes.

9. Monster.com
Fecha: Agosto 2007
Impacto: Robo de informacin confidencial de 1.3 millones de personas
que buscan empleo. Misma que fue utilizada en una estafa masiva de
phishing.
Lo peor:

La tarda difusin de la noticia.

Piratas informticos entraron en la biblioteca del sitio de EE.UU. de

contratacin en lnea Monster Worldwide Inc. El portal dijo tras el robo de
datos que el ataque fue lanzado con dos servidores en una empresa de
alojamiento Web en Ucrania.
La compaa dijo que la informacin robada se limit a los nombres,
direcciones, nmeros de telfono y direcciones de correo electrnico y
otros detalles, incluyendo nmeros de cuentas bancarias.
El problema era que Monster se enter de la violacin el 17 de agosto,

pero no lo hizo pblico durante cinco das, haciendo que la informacin

robada fuera utilizada para hacer un efectivo ataque de phishing, pues
los usuarios no saban que sus cuentas haban sido robadas.

8. Gawker Media
Fecha: Diciembre 2010
Impacto: Comprometidas las direcciones de correo
electrnico y contraseas de aproximadamente 1.3 millones de
blogueros, adems del robo del cdigo fuente de Gawker.
Lo peor:

El propio sitio web fue perjudicado.

Los foros en lnea y los blogs son uno de los objetivos ms populares de
los piratas informticos. Un grupo que se autodenomina Gnosis se
atribuy la responsabilidad del ataque, diciendo que lo haba puesto en
marcha por la "arrogancia absoluta" de Gawker hacia la comunidad
hacker.
"Gawker no tena la seguridad necesaria para enfrentar a prcticamente
ningn hacker. No estaba a la altura de otros sitios ms grandes", dijo el
director del Proyecto KNOS, Kevin McAleavey, quien agreg que el
principal problema era que las contraseas almacenadas en Gawker
tenan un formato que fue muy fcil para los hackers entender. "Algunos
usuarios utilizan la misma contrasea para el correo electrnico y Twitter,
y era slo cuestin de horas antes de que los piratas secuestraran a sus
cuentas y comenzaran a utilizarlas para enviar Spam.

7. VeriSign
Fecha: A lo largo de 2010

Impacto: Robo de informacin privilegiada

Lo peor: Fue manchada la imagen de una empresa dedicada a seguridad
digital.

Los expertos en seguridad son unnimes al decir que lo ms

preocupante de la violacin de VeriSign es que los piratas informticos
obtuvieron acceso a los sistemas e informacin privilegiada. VeriSign no
anunci los ataques, sino que los incidentes se hicieron pblicos hasta
2011.
Cuntas veces fueron atacados? Qu tipos de ataque se utilizaron? Al
da de hoy esa informacin es un misterio, lo que es seguro es que los
medios de comunicacin que difundieron la noticia comentaban que la
informacin robada era muy importante.
Al parecer, el caso an sigue abierto y no han encontrado a los
culpables, pues no se ha dado alguna actualizacin del caso, ni por parte
de Verisign ni por filtraciones de la Web.

6. AOL
Fecha: 06 de agosto 2006
Impacto: Robo de los datos de ms de 20 millones de consultas web de
ms de 650,000 usuarios, incluidos datos de sus compras y datos
bancarios.
Lo peor: El error digno de ser parte de la lista "Los 10 grandes errores
humanos de la era digital".

Este no fue un robo, pero la gran cantidad de usuarios afectados amerita

que lo incluyamos en esta lista. Pero si no fue un robo Qu fue lo que

expuso los datos?
Michael Arrington, abogado y fundador de TechCrunch, public en su
momento un comentario en su blog diciendo: "La estupidez de esto es
asombroso."
El Dr. Abdur Chowdhury, director del departamento de investigacin de
datos de AOL public por accidente un archivo de texto comprimido en
uno de sus sitios web que contiena 20 millones de palabras clave de
bsqueda de 650,000 usuarios durante un perodo de tres meses. Si bien
estaba previsto para fines de investigacin, se public por error.
AOL sac el archivo del acceso pblico al da siguiente, no antes de que
se se hubiera distribuido masivamente en internet
El incumplimiento llev a la renuncia del director de tecnologa de AOL,
Maureen Govern, el 21 de agosto de 2006.

5. Google / otras empresas de Silicon Valley

Fecha: Mediados de 2009
Impacto: Propiedad intelectual robada.
Lo peor:

Varias empresas transnacionales se vieron afectadas de un slo

ataque.

En un acto de espionaje industrial, el gobierno chino lanz un ataque

masivo y sin precedentes a Google, Yahoo, y docenas de otras
empresas de Silicon Valley. Los hackers chinos aprovecharon de una
debilidad en una versin antigua de Internet Explorer para obtener
acceso a la red interna de Google. Se anunci por primera vez que China
estaba tratando de recopilar informacin sobre activistas chinos. No se

sabe exactamente lo que los datos fueron robados de las compaas

norteamericanas, pero Google admiti que datos sobre su propiedad
intelectual haban sido. Para los usuarios el mensaje urgente es que
actualicen su navegador web inmediatamente.

4. CardSystems Solutions
Fecha: Junio 2005
Impacto: 40 millones de cuentas de tarjetas de crdito al descubierto
gracias a un ataque CSS a uno de los principales procesadores de pagos
de Visa, MasterCard y American Express.
Lo peor: La falta de cuidado y corrupcin por parte de la empresa
encargada de supervisar la seguridad del sitio.
Los hackers irrumpieron en la base de datos de CardSystems con un
ataque troyano SQL, que inserta cdigo en la base de datos a travs de
la pgina del navegador. Este ataque se repeta cada cuatro das y
colocaba los datos en un archivo zip y lo enviaba a los responsables del
ataque.
Dado que la informacin robada de sus clientes no estaba cifrada los
hackers tuvieron acceso a nombres, nmeros de cuentas y cdigos de
verificacin de ms de 40 millones de titulares de tarjetas.
Un portavoz de Visa, Rosetta Jones, le dijo a Wired News que tenan una
certificacin de auditora de junio de 2004 que era compatible con los
estndares de almacenamiento de datos, pero al final se decubri que
dicha certificacin tena irregularidades. "Si hubieran seguido las
normas y requisitos, no hubieran tenido que pasar por esto", dijo Jones.
La compaa fue adquirida por Pay-by-touch a finales de 2005.

3. Fidelity National Information Services

Fecha: Julio 2007

Impacto: Un empleado de los servicios de Certegy Check rob 3.2
millones de registros de clientes, incluyendo informacin bancaria y
personal.
Lo peor: Tardaron meses en dar a conocer la noticia, poniendo en riesgo
a las vctimas, as como la cantidad monetaria que tuvieron que invertir
para indemnizar a los involucrados.

Red Mundial inform que el robo fue descubierto en mayo de 2007 pero
que el robo no fue revelado hasta julio del mismo ao.
El hurto lo llev a cabo el mismo administrador de la base de datos,
William Sullivan. Supuestamente, vendi los datos por una cantidad no
revelada a un corredor de datos, que a su vez los vendi a empresas de
comercializacin.
Una demanda colectiva fue presentada contra la FIS y una de sus
afiliadas, por negligencia en relacin a la violacin de datos. Sullivan
accedi a declararse culpable por los cargos de fraude federal y fue
condenado a cuatro aos y nueve meses de prisin y a pagar una multa
de $ 3.2 millones.
El 7 de julio de 2008 se lleg a un acuerdo de demanda colectiva que
otorgaba a cada persona cuya informacin financiera fue robada a un
mximo de U$D 20,000 por las prdidas provocadas por robo de
identidad.

2. Sony PlayStation Network

Fecha: 20 de abril 2011

Impacto: 77 millones de cuentas hackeadas de PlayStation Network.

Lo peor: Posiblemente el ataque que ms cuentas de datos ha obtenido.
Hackers atacaban a placer los sitios de Sony dejando en ridculo a Sony
por no poder frenarlos. Se dijo que perdi millones mientras el sitio
de PlayStation Network estuvo cado por todo un mes.

Es considerada la peor violacin de datos a una comunidad de juegos de

todos los tiempos. De las ms de 77 millones de cuentas afectadas, 12
millones contenan informacin del nmero de tarjetas de crdito, pero
Sony asegur que esta informacin estaba cifrada y lejos de las manos
de los hackers. De acuerdo con Sony, an no ha encontrado a los
culpables de este ataque, que tuvieron acceso a nombres, contraseas,
correos electrnicos, direcciones, historial de compras y nmeros de
tarjetas de crdito. Simplemente, un ataque que nos record que no por
ser grande y poderosa una empresa puede tener un buen sistema de
seguridad digital.

1. ESTsoft
Fecha: julio-agosto 2011
Impacto: Los datos personales de 35 millones de usuarios de Corea del
Sur fueron expuestos despus de que piratas violaron la seguridad de un
proveedor de software popular.
Lo peor: Interses polticos se vieron mezclados entre dos naciones
tensando su ya difcil situacin. El ataque afect a la mayora de la
poblacin.
Se le llamo a ste el robo de informacin ms grande de Corea del Sur
en la historia. Agencias de noticias de Corea del Sur informaron que las
direcciones IP de los atacantes provenan de China, por lo que culparon
directamente a este pas por el ataque. Los atacantes fueron capaces de

robar los nombres, IDs de usuario, contraseas hash, fechas de

nacimiento, sexo, direcciones, nmeros de telfono y direcciones de
correo contenidas en una base de datos conectada a la misma red. Kim
Jang-joon, director general de ESTsoft, se disculp y se comprometi a
"fortalecer el sistema de seguridad de nuestros programas."