Si bien durante los últimos 3 años el aumento de robo de base de datos a sitios web aumento considerablemente, un factor muy importante son los vectores de ataques con los que se obtienen esta información de forma ilegal, uno de ellos es la inyección de código, esta ha permitido desde inicios del segundo milenio obtener accesos a sitios webs con una mala programación o sin políticas de seguridad en los métodos de autenticación o variables mal implementadas.

Durante el año 2017 grandes empresas reconocidas a nivel internacional,  fueron víctimas de robo de información, entre ellas las más sonadas, una de las mayores agencias crediticias el cual más de 143 millones de personas fueron afectadas considerado cómo el robo de datos más importante en los últimos años,  otra de las empresas que los atacantes obtuvieron datos confidenciales de fue una de las consultoras más grandes del mundo Deloitte,  en esta los atacantes obtuvieron información ya acceso a los correos de los clientes “VIP” según medios de digitales.

La madre de las filtraciones.

El pasado 05 de Diciembre, investigadores de la empresa 4iQ dieron a conocer la más grande de todas las filtraciones de credenciales  que se había visto en Internet, (bueno al menos conocidas y que se han hecho publicas), se trata de 41 GB  de información el cual contiene 1,400,553,869 credenciales en texto plano, esta fue encontrada en la Dark Web y por razones éticas no dieron a conocer la dirección o foro de donde la encontraron.

En los tweets de Troy Hunt creador de Have I been pwned?, menciona que ha verificado un gran porcentaje de las contraseñas de este leak contraseñas, dando el comentario que un gran porcentaje de estas son contraseñas activas y reales :

A random sample of 1k addresses from the 1.4B list shows that 99.6% of them are already in @haveibeenpwned. It’s pointless loading this, I’ll keep working through the source incidents so that people know where their data actually came from. 6/7 pic.twitter.com/0b5DLGf8fY

— Troy Hunt (@troyhunt) 10 de diciembre de 2017

Durante la primer semana que se dio a conocer este leak, nuestro grupo de investigación en tpx se dio a la tarea de realizar una búsqueda de las bases de datos publicas en Internet, es decir todo aquello que no necesite una proxy o algún software cómo tor para poder accesar.

La información expuesta en Internet es alarmante, se han encontrado recopilaciones de más 300 GB, con leaks desde el 2012, hasta la fecha:

Tomando en cuenta que la información es publica, esta expuesta a cualquier persona que sepa cómo buscarla.

Si te gusta estar al día con lo que pasa en Internet te recomendamos seguirnos por telegram [ https://t.me/tpxSecurity ]:

¿Vectores de ataque?

El eslabón más valioso es el vector de ataque tipo inyección de código que ha permitido en varios ataques obtener información, burlar la seguridad de los métodos de autenticación y en alguno de los casos hasta insertar y consultar datos directamente en las base de datos de las víctimas.

En algunos casos de los ataques que mas se han mencionado en el 2017, una pagina web mal configurada, o con una variable mal implementada puede permitir el acceso a los atacantes hasta en algunos casos tomar el control total de un servidor.

Es recomendable realizar auditorías de seguridad periódicamente para detectar este tipo de vectores de ataque y así prevenir una fuga de información.

Tips

Si eres de las personas que utilizan más de una red social o más de un correo te recomendamos utilizar una contraseña diferente para cada red social y correos, repetir contraseñas facilita y amplia el panorama al atacante.

+ Haz uso contraseñas fuertes, haz uso de números, caracteres, letras en mayusculas y minúsculas complejas. [ Checa esta web para generar contraseñas robustas http://passwordator.com/ ]

+ No des más información de lo necesario, por ejemplo “número telefónico, dirección etc.” al menos que esta sea necesaria, si no es así no la des.

+ Haz uso de las autenticaciones por dos pasos ya sea por email o por mensaje de texto.

+ Cuidado donde das click, ve siempre la URL y confirma que la pagina sea la correcta.

+ Te recomendamos revisar después de un leak de información si tu contraseña aparece en haveibeenpwned.com/.