Resumen semanal de noticias sobre seguridad del correo electrónico n.º 4 [junio de 2022]

Ha pasado otra semana y esta nos ha dejado con otro cumulo de noticias relacionadas a la seguridad cibernética, así como ciertos reportes relacionados a filtraciones en la seguridad del correo electrónico.

El resumen de esta semana cubre noticias sobre un ataque cibernético que afectó a 1,5 millones de clientes del Banco Flagstar, Meta Platforms Inc. recibe una demandada y un antiguo ingeniero de Amazon es condenado con cargos federales por mal manejo de información confidencial de la empresa.

Vamos a descubrí cuales son las principales noticias de la semana relacionadas a la seguridad cibernética, así como las violaciones a la seguridad que enfrentan los correos electrónicos.

El Banco Flagstar, con sede en Michigan, anuncia filtración de datos de al menos 1,5 millones de clientes

A finales del año 2021, se produjo una filtración masiva de datos debido a un ataque cibernético que afectó a los clientes del Banco Flagstar.

El banco, con sede en Michigan notificó a más de 1,5 millones de clientes que podrían verse afectados por la filtración.

El pirata informático que origino el evento accedió a archivos que contenían datos personales y confidenciales de los clientes de la entidad financiera.

El criminal tuvo acceso a amplios bancos de datos que contenían información delicada, tal como nombres completos de clientes, números de la Seguridad Social, y otro tipo de información personal que quedo expuesta, por lo cual el riesgo de robo de identidad se ha convertido en motivo de gran preocupación para quienes se vieron afectados por este ataque.

Finalmente, en junio del 2022, luego de una investigación exhaustiva, Flagstar descubrió que los archivos afectados contenían información personal de sus clientes.

La información fue extraída de la red de Flagster entre el 3 de diciembre de 2021 y el 4 de diciembre de 2021.

El banco declaró que activó rápidamente un plan de respuestas ante el incidente, contratando a profesionales externos en seguridad cibernética e informó el asunto a las autoridades pertinentes.

Meta Inc. es acusada de enviar en secreto datos de pacientes a Facebook

La red social más grande del mundo, Meta Platforms Inc., ha sido demandada por mal manejo de asuntos pertinentes a la privacidad de sus usuarios.

Los reclamos alegan que los datos médicos privados de múltiples usuarios fueron compartidos en secreto con Facebook cuando los pacientes accedieron a ciertos portales web.

No es la primera vez que Meta Inc. es investigada y demandada por asuntos relacionados a la privacidad de sus usuarios. Las acusaciones frecuentemente refieren a las acciones ilegales que comete la empresa para compilar datos de sus usuarios y el uso que le dan a esta información para la venta de publicidad dirigida a un target especial de la población basada en su comportamiento en línea. 

La herramienta de seguimiento de píxeles de Facebook es la que ha estado dirigiendo data de contactos de pacientes e información confidencial sin autorización, violando leyes federales y estatales.

El litigio ha sido presentado en un tribunal federal de San Francisco en forma de una demanda colectiva propuesta a nombre de millones de pacientes.

El demandante en si no ha sido identificado, aunque se describe a sí mismo como un paciente que utilizó el portal del sistema de salud de Baltimore para revisar sus resultados de laboratorio y programar citas, lo cual le permitió descubrir las actividades ilegales de Meta.

Este ciudadano exige compensación por daños y perjuicios, así como acciones disciplinarias por incumplimiento de contrato. Entre otras alegaciones, también se cuenta el reclamo constitucional por invasión de la privacidad y violación de la Ley Federal de Privacidad de las Comunicaciones Electrónicas.

Al momento de escribir esta nota, Meta Inc. no ha emitido comentario alguno sobre la situación.

Sin embargo, la página del centro de ayuda empresarial de la empresa indica que el mecanismo de filtrado de señales de Meta detecta los datos de las herramientas de negocios que están categorizados como datos confidenciales relacionados con la salud de sus usuarios.

Antiguo empleado de Amazon es condenado por hackeo masivo de Capital One

Un antiguo ingeniero de Amazon fue condenado con cargos federales por llevar a cabo un hackeo en el año 2019 que afecto las cuentas de 100 millones de usuarios de tarjetas de crédito y se convirtió en una de las filtraciones de datos más grandes en la historia de los Estados Unidos de Norteamérica.

La condenada es Paige Thompson, ex empleada de Amazon Web Services de 36 años, quien ha sido descrita como “errática”. Sus abogados defensores argumentaron que Thompson tiene problemas de salud mental, y dijeron que no tenía la intención de sacar provecho de los datos extraídos.

Thompson descargó los datos de más de 100 millones de clientes de Capital One en 2019, incluidos unos 120.000 números de seguridad social y 77.000 números de cuentas bancarias.

Para obtener estos datos, buscó clientes de AWS con cortafuegos mal configurados y usó este fallo en sus sistemas para hacerse pasar por un usuario autorizado.

El sistema interno de Capital One reconoció las consultas de Thompson como operaciones provenientes de una computadora familiar, por lo que el sistema aceptó sus solicitudes de información.

La señora Thompson también está acusada de crear un software para la minería de criptomonedas en los servidores de las empresas, usando su poder de cómputo de estas para extraer monedas digitales para su uso.

Thompson fue declarada culpable de fraude electrónico y seis cargos de fraude y abuso informático, pero permanece libre, en espera de sentencia a finales de este año.

Pensamientos finales

En la actualidad existen muchas vulnerabilidades que pueden ser aprovechadas por los piratas informáticos, lo cual afecta las comunicaciones comerciales, lo que a su vez hace que la seguridad de los correos electrónicos sea causa de preocupación central para empresas y organizaciones de todo el mundo.

Es por esta razón que es imprescindible habilitar una protección más completa para el correo electrónico de una empresa.

Estas fueron las principales noticias de seguridad relacionadas a los correos electrónicos y a la seguridad cibernética de la semana.

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More