En los últimos meses, se ha reportado un significativo robo de datos de clientes de la empresa de almacenamiento en la nube Snowflake. Este incidente se ha vinculado con grandes brechas de datos en empresas como Ticketmaster y el banco Santander, entre otros.
Este artículo de ITD Consulting examina detalladamente los hechos de Snowflake, los actores involucrados y las implicaciones de seguridad que estos ataques presentan.
Contexto del incidente
Descubrimiento y alerta inicial
Investigadores de seguridad han reportado el robo de un volumen significativo de datos de cientos de clientes de Snowflake. La firma de seguridad Mandiant, que está investigando el robo junto a Snowflake, anunció que ha rastreado la actividad hasta un actor de amenazas financieras identificado como UNC5537.
Desde el descubrimiento de esta actividad en abril, las dos compañías han notificado al menos a 165 organizaciones clientes de Snowflake que podrían haber sido comprometidas.
Empresas afectadas
Entre las empresas afectadas junto a Snowflake se encuentran Ticketmaster, Santander Bank y la subsidiaria de LendingTree, QuoteWizard. Los detalles sobre cómo se comprometieron las cuentas han sido escasos, aunque se ha señalado que no hay evidencia de que el entorno empresarial de Snowflake haya sido directamente vulnerado.
Métodos de compromiso
Acceso a través de credenciales robadas
Mandiant ha revelado que el grupo UNC5537 ha estado comprometiendo sistemáticamente a los clientes de Snowflake utilizando credenciales de inicio de sesión robadas mediante infecciones históricas de malware tipo infostealer en sistemas no pertenecientes a Snowflake.
Algunas de estas credenciales datan de 2020, lo que permitió a UNC5537 robar datos de instancias de clientes de Snowflake y venderlos en foros de ciberdelincuencia o extorsionar a las víctimas.
Falta de prácticas de seguridad
La campaña de UNC5537 ha tenido numerosos éxitos, debido a las deficientes prácticas de seguridad en las cuentas afectadas. Muchas de estas cuentas no actualizaron las credenciales robadas ni utilizaron autenticación multifactor (MFA) o listas de permitidos de red.
Compromiso de EPAM systems
Según los hackers del grupo ShinyHunters, algunos accesos se lograron vulnerando los sistemas de un proveedor bielorruso que trabajaba con los clientes afectados. Esta empresa, EPAM Systems, ha negado cualquier implicación en las filtraciones.
Sin embargo, uno de los hackers afirmó haber utilizado datos encontrados en un sistema de empleados de EPAM para acceder a algunas cuentas de Snowflake.
Detalles del ataque a EPAM systems
EPAM Systems es una empresa dedicada a la ingeniería de software y servicios digitales, que cotiza en bolsa y fue fundada por Arkadiy Dobkin, nacido en Bielorrusia. La empresa tiene ingresos anuales de aproximadamente 4,800 millones de dólares y cuenta con 300 empleados experimentados en el uso de las herramientas y servicios de análisis de datos de Snowflake.
El hacker que habló con WIRED afirma que una computadora perteneciente a uno de los empleados de EPAM en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing. Una vez en el sistema del empleado de EPAM, el hacker instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.
Encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster.
El hacker sostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira. Los hackers lograron aprovechar esas credenciales, ya que estas no requerían autenticación multifactor (MFA).
Impacto del malware info-stealer
Los infostealers han demostrado ser una herramienta eficaz para los ciberdelincuentes. La capacidad de estas herramientas para recolectar credenciales y otros datos sensibles sigue siendo una amenaza significativa.
Las empresas deben ser conscientes de los riesgos y tomar medidas proactivas para mitigarlos. Mandiant declaró que alrededor del 80% de las víctimas que identificó en la campaña Snowflake se vieron comprometidas mediante credenciales que previamente habían sido robadas y expuestas por infostealers.
Reacción de EPAM systems
EPAM ha negado cualquier implicación en las filtraciones y ha sugerido que el hacker había inventado la historia. La empresa mantiene que no ha encontrado evidencia de haber estado implicada en los hechos tras realizar una investigación interna exhaustiva. EPAM sostiene que cuenta con medidas de seguridad robustas para proteger sus operaciones y a sus clientes.
Impacto y alcance del robo
Los datos robados de Santander incluían detalles bancarios de 30 millones de clientes, entre ellos seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal.
Estos datos fueron publicados por los hackers en un post en internet. Otros afectados, como LendingTree y Advance Auto Parts, también han comunicado que podrían ser víctimas, aunque no han confirmado los detalles.
Las credenciales obtenidas por los infostealers a menudo se publican en internet o se ponen a la venta en foros de hackers. Si las víctimas no modifican sus credenciales de acceso después de una intrusión, estas permanecen activas y disponibles durante años.
Esto es especialmente problemático si esas credenciales se usan en varias cuentas, ya que los hackers pueden identificar al usuario a través de la dirección de email y, si la persona reutiliza la misma contraseña, pueden probar esas credenciales en varios sitios.
Respuesta de las empresas
Acciones de Snowflake
Snowflake ha emitido declaraciones negando que su plataforma sea la responsable directa de las brechas. El Director de Seguridad de Información de Snowflake, Brad Jones, ha reconocido la necesidad de implementar medidas de autenticación multifactor de manera obligatoria para proteger mejor las cuentas de sus clientes.
Investigaciones en curso
EPAM, por su parte, ha declarado que no encuentra evidencias de haber estado implicada en las filtraciones y sugiere que las afirmaciones de los hackers son inventadas. La empresa está realizando una investigación exhaustiva sobre el asunto.
Medidas adicionales
Snowflake está trabajando para ofrecer a sus clientes la posibilidad de exigir a los usuarios de sus cuentas que empleen la MFA en el futuro «por defecto». Esta medida es crucial para mejorar la seguridad de las cuentas y prevenir futuros ataques similares.
Futuro de la seguridad en Snowflake
Snowflake, junto con Mandiant, está trabajando para mejorar la seguridad de su plataforma y de sus clientes. La implementación de medidas como la autenticación multifactor obligatoria es un paso en la dirección correcta para Snowflake. Sin embargo, las empresas también deben estar atentas y adoptar prácticas de seguridad adicionales para proteger sus datos.
Lecciones aprendidas
El robo de datos a clientes de Snowflake ha puesto de manifiesto importantes debilidades en las prácticas de seguridad de las empresas y la vulnerabilidad que representa el uso de credenciales robadas.
Este incidente en Snowflake debe servir como un llamado de atención para que las organizaciones refuercen sus medidas de seguridad y adopten estrategias más sólidas para proteger sus datos en la nube.
La colaboración entre Snowflake, Mandiant y otras partes interesadas será crucial para prevenir futuros incidentes y asegurar que los entornos de almacenamiento en la nube sean tan seguros como sea posible.
La industria debe aprender de este incidente y tomar medidas proactivas para proteger los datos sensibles en un mundo cada vez más digitalizado.
Recomendaciones para mejorar la seguridad
1. Implementación de autenticación multifactor
Una de las medidas más efectivas para mejorar la seguridad de las cuentas es la implementación de la autenticación multifactor (MFA). Esta medida agrega una capa adicional de seguridad al requerir que los usuarios proporcionen una segunda forma de verificación, como un código temporal, además de su contraseña.
2. Actualización regular de credenciales
Es crucial que las empresas implementen políticas para la actualización regular de credenciales. Esto incluye cambiar las contraseñas periódicamente y asegurarse de que las contraseñas comprometidas se actualicen inmediatamente después de cualquier incidente de seguridad.
3. Monitoreo y auditoría de seguridad
El monitoreo continuo y la auditoría regular de la seguridad son esenciales para detectar y responder a amenazas en tiempo real. Las empresas deben invertir en soluciones de seguridad que les permitan supervisar el acceso a sus sistemas y detectar actividades sospechosas.
4. Capacitación en seguridad para empleados
La capacitación en seguridad para los empleados es fundamental. Los empleados deben ser conscientes de las amenazas cibernéticas y saber cómo protegerse contra ellas. Esto incluye la capacitación sobre cómo identificar intentos de phishing y otras tácticas de ingeniería social.
5. Restricción de accesos
Las empresas deben implementar políticas de acceso estrictas, asegurándose de que los empleados solo tengan acceso a la información y los sistemas necesarios para realizar sus tareas. El principio del mínimo privilegio ayuda a reducir el riesgo de compromisos internos.
6. Implementación de listas de permitidos
La implementación de listas de permitidos de red puede ayudar a restringir el acceso a las cuentas solo a direcciones IP específicas. Esta medida puede prevenir el acceso no autorizado incluso si las credenciales se ven comprometidas.
7. Evaluaciones de seguridad
Realizar evaluaciones de seguridad periódicas puede ayudar a identificar y corregir vulnerabilidades en los sistemas antes de que sean explotadas por atacantes. Estas evaluaciones pueden incluir pruebas de penetración y auditorías de seguridad.
El robo de datos a clientes de Snowflake ha puesto de manifiesto importantes debilidades en las prácticas de seguridad de las empresas y la vulnerabilidad que representa el uso de credenciales robadas.
Este incidente en Snowflake debe servir como un llamado de atención para que las organizaciones refuercen sus medidas de seguridad y adopten estrategias más sólidas para proteger sus datos en la nube.
La colaboración entre Snowflake, Mandiant y otras partes interesadas será crucial para prevenir futuros incidentes y asegurar que los entornos de almacenamiento en la nube sean tan seguros como sea posible.
La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios y sus clientes. Ambos deben trabajar juntos para implementar medidas de seguridad efectivas y proteger los datos contra amenazas en constante evolución.
Este incidente en Snowflake debe servir como un recordatorio de la importancia de la seguridad y la necesidad de estar siempre vigilantes y proactivos en la protección de nuestros datos. Si quieres saber más de medidas de ciberseguridad para tu empresa, escríbenos a [email protected]. Tenemos un equipo de ciberseguridad para ayudarte.