El riesgo de terceros es una de las amenazas que más se pasan por alto en la seguridad de las empresas. Los estudios muestran que, en los últimos 12 meses, el 54% de las organizaciones han sufrido filtraciones de datos a través de terceros. Solo esta semana, tanto Uber como la bolsa de criptomonedas Gemini se han añadido a esa lista.
Recientemente, Géminis sufrió una Filtración de datos después de que unos piratas informáticos vulneraran los sistemas de un proveedor externo y obtuvieron acceso a 5,7 millones de correos electrónicos y números de teléfono parcialmente ocultos.
En una entrada de su blog en la que reflexionaba sobre la filtración, Gemini reconoció que, si bien, aunque la información de las cuentas o los sistemas no se vieron afectados, es posible que algunos clientes hayan sido objeto de campañas de phishing después de la violación.
Si bien la información expuesta en la violación de Gemini se limita a correos electrónicos y números de teléfono parciales, el hackeo destaca que apuntar a proveedores externos es una forma confiable para que los actores de amenazas recopilen información para utilizarla en estafas de ingeniería social y otros ataques.
Por qué los terceros son un blanco fácil para las filtraciones de datos
En el caso de la violación de Uber, los piratas primero obtuvieron acceso a Teqtivity’s y a un servidor de AWS, antes de filtrar la información de las cuentas y la información de identificación personal (PII) de aproximadamente 77,000 empleados de Uber.
Aunque las infracciones de Uber y Gemini son incidentes separados, las dos organizaciones han tenido que recoger los pedazos y controlar los daños después de que fallaran las protecciones de seguridad de un proveedor externo.
“En el gran esquema de las cosas, las direcciones de correo electrónico perdidas no son el peor elemento de datos que se puede utilizar; sin embargo, es un claro recordatorio de que las empresas seguirán recibiendo críticas por las violaciones que (supuestamente) ocurren con sus proveedores externos”, dijo el principal cazador de amenazas de Netenrich, John Bambenek.
Al considerar estos incidentes en el marco de la tendencia más generalizada de infracciones de terceros, parece que los autores de amenazas son muy conscientes de que los proveedores externos son un punto de entrada relativamente sencillo a los sistemas de las organizaciones.
Después de todo, una organización no solo debe confiar en las medidas de seguridad de sus proveedores de TI y ceder el control de sus datos, sino que también debe confiar en que los proveedores informarán los incidentes de ciberseguridad cuando ocurran.
Desafortunadamente, muchas organizaciones están trabajando con proveedores externos en los que no confían plenamente, y solo el 39 % de las empresas confían en que un tercero les notificaría si se produjera una violación de datos en su empresa.
Los riesgos de los correos electrónicos filtrados: ingeniería social
Aunque las direcciones de correo electrónico no son tan dañinas cuando se divulgan como las contraseñas o la propiedad intelectual, brindan a los ciberdelincuentes suficiente información para comenzar a atacar a los usuarios con estafas de ingeniería social y correos electrónicos de phishing.
“Aunque este caso concreto [la filtración de Gemini] involucra un exchange de criptomonedas, la conclusión es que se trata de un problema mucho más general, en el que los ciberdelincuentes obtienen información sobre el objetivo (correos electrónicos, números de teléfono) y algo de contexto sobre esa información (todos usan un servicio específico) para que sea relevante”, dijo Mike Parkin, ingeniero técnico senior en el proveedor de soluciones de ciberriesgos Vulcan Cyber.
“Los correos electrónicos aleatorios están bien si se trata de estafas de príncipes nigerianos, pero para realizar ataques más específicos contra una organización o una comunidad de usuarios, tener ese contexto es oro para un actor de amenazas”, dijo Parkin.
En el futuro, los estafadores podrán utilizar estas direcciones de correo electrónico para redactar correos electrónicos muy específicos para elaborar campañas de phishing y estafas de criptomonedas muy específicas para tratar de engañar a los usuarios para que se registren en sitios de intercambio falsos o entreguen otra información confidencial.
La respuesta: Mitigación de los riesgos de terceros
Una forma en que las organizaciones pueden comenzar a mitigar el riesgo de terceros es revisar las relaciones con los proveedores y evaluar el impacto que tienen en la postura de seguridad de la organización.
“Las organizaciones necesitan comprender dónde podrían estar expuestas a riesgos relacionados con los proveedores y establecer políticas consistentes para reevaluar esas relaciones”, dijo Bryan Murphy, director senior de servicios de consultoría y respuesta a incidentes en CyberArk.
En un nivel fundamental, las empresas deben comenzar a considerar a los proveedores externos como una extensión de su negocio y asumir la responsabilidadpara que se apliquen las protecciones necesarias para proteger los activos de datos.
Para Bambenek, la forma más práctica de hacerlo es integrar la seguridad en los contratos.
“Los CISO deben asegurarse de que al menos sus contratos estén documentados para imponer requisitos de seguridad razonables, y utilizar herramientas de control de riesgos de terceros para evaluar el cumplimiento. Cuanto más sensibles sean los datos, más estrictos deben ser los requisitos y el seguimiento”, dijo Bambenek.
Si bien estas medidas no eliminarán por completo los riesgos de trabajar con un tercero, brindarán a las organizaciones protecciones adicionales y resaltarán que han realizado su debida diligencia para proteger los datos de los clientes.