Acabamos el año con el incremento de la delincuencia en la red contra las grandes entidades y ya hemos comenzado a escribir la crónica de los ciberataques de 2024. Y es que no hay nada mejor que ser conscientes de nuestras vulnerabilidades para hacernos cada día más fuertes. En Gesprodat, lo tenemos muy claro y por eso queremos contarte qué ha ocurrido.
La caída de Orange España
La tarde del 3 de enero, muchos usuarios de Orange y de sus filiales Simyo y Jazztel detectaron problemas en sus conexiones a Internet. Para que entiendas lo sucedido, aunque aún hay ciertas lagunas, nos tenemos que remontar a septiembre de 2023.
Alguien introdujo un troyano en un ordenador corporativo con el fin de obtener las credenciales que tenía almacenadas. Entre ellas, estaba la contraseña de acceso a RIPE, que es el organismo que coordina la asignación de las IP en Europa, Oriente Medio y Asia Central.
La alarma surgió esa tarde de enero, cuando una usuaria de X, Snow, lanzó un mensaje a la operadora desde su cuenta. En ella, le informaba de que había solventado sus problemas de seguridad en RIPE y que si querían las nuevas contraseñas, se pusieran en contacto con ella.
En este caso, el problema se solucionó sin dificultad, ya que, a pesar de la actuación de esta hacker contra Orange, no tenía ninguna pretensión económica ni realizó ninguna acción maliciosa. Sin embargo, sí puso de manifiesto que la contraseña no era segura, no tenía el doble factor de autenticación y la compañía se había relajado en sus propios controles internos de seguridad.
La gravedad de los hechos reside, por un lado, en la vulnerabilidad probada de una empresa de telecomunicaciones: una entidad esencial según la Directiva NIS2. Y, por otro, pone en evidencia el fallo de los mecanismos de control establecidos en el Plan Estratégico de Ciberseguridad.
Ciberataque a Carrefour Sistemas Financieros
En lo referente a lo acontecido a Carrefour Sistemas Financieros, los ciberdelincuentes lograron extraer información sensible de sus clientes. Los datos robados, según comunicaba la compañía a los usuarios en Navidad, incluían los de contacto o el número de DNI. También aclaraba que las claves de acceso a Servicios Financieros Carrefour no se habían visto expuestas. Aun así, no especificaba si estaban comprometidos los números de sus tarjetas bancarias o la información sobre los productos contratados.
En cualquier caso, los datos robados son muy sensibles. Y aunque no te pueden quitar dinero de tu cuenta con ellos ni efectuar compras, sí son la esencia de las suplantaciones de identidad y de las estafas. Una de ellas es la de solicitar un duplicado de la tarjeta SIM del teléfono móvil y llevar a cabo grandes desfalcos por parte de los ciberdelincuentes. La propia compañía advierte de estas posibles consecuencias a sus clientes y les invita a mantenerse en guardia.
Tanto en el ciberataque a Orange como en el de Carrefour, la implementación de un buen Plan Director de Seguridad (PDS) probablemente habría evitado el problema. En el caso de Orange, además, se habrían asegurado de cumplir la normativa y las carencias de seguridad mostradas.
Todo apunta a que los ciberataques de 2024 continuarán creciendo. Las empresas no se pueden permitir el lujo de descuidar su ciberseguridad porque nos comprometen a todos, al margen de las sanciones que reciban por parte de la AEPD.