El robo de datos a clientes de Snowflake: Un análisis exhaustivo

¿Quieres AHORRAR?
¡Cámbiate con nosotros!

✔️Correo Corporativo M365. 50gb por usuario
✔️1 Tera espacio cloud por usuario.

El robo de datos a clientes de Snowflake: Un análisis exhaustivo del ciberataque más sonado recientemente. ITD Consulting te cuenta todo.

En los últimos meses, se ha reportado un significativo robo de datos de clientes de la empresa de almacenamiento en la nube Snowflake. Este incidente se ha vinculado con grandes brechas de datos en empresas como Ticketmaster y el banco Santander, entre otros.

Este artículo de ITD Consulting examina detalladamente los hechos de Snowflake, los actores involucrados y las implicaciones de seguridad que estos ataques presentan.

Contexto del incidente

Descubrimiento y alerta inicial

Investigadores de seguridad han reportado el robo de un volumen significativo de datos de cientos de clientes de Snowflake. La firma de seguridad Mandiant, que está investigando el robo junto a Snowflake, anunció que ha rastreado la actividad hasta un actor de amenazas financieras identificado como UNC5537.

Desde el descubrimiento de esta actividad en abril, las dos compañías han notificado al menos a 165 organizaciones clientes de Snowflake que podrían haber sido comprometidas.

Empresas afectadas

Entre las empresas afectadas junto a Snowflake se encuentran Ticketmaster, Santander Bank y la subsidiaria de LendingTree, QuoteWizard. Los detalles sobre cómo se comprometieron las cuentas han sido escasos, aunque se ha señalado que no hay evidencia de que el entorno empresarial de Snowflake haya sido directamente vulnerado.

Métodos de compromiso

Acceso a través de credenciales robadas

Mandiant ha revelado que el grupo UNC5537 ha estado comprometiendo sistemáticamente a los clientes de Snowflake utilizando credenciales de inicio de sesión robadas mediante infecciones históricas de malware tipo infostealer en sistemas no pertenecientes a Snowflake.

Algunas de estas credenciales datan de 2020, lo que permitió a UNC5537 robar datos de instancias de clientes de Snowflake y venderlos en foros de ciberdelincuencia o extorsionar a las víctimas.

Falta de prácticas de seguridad

La campaña de UNC5537 ha tenido numerosos éxitos, debido a las deficientes prácticas de seguridad en las cuentas afectadas. Muchas de estas cuentas no actualizaron las credenciales robadas ni utilizaron autenticación multifactor (MFA) o listas de permitidos de red.

El robo de datos a clientes de Snowflake: Un análisis exhaustivo, innovación tecnológica, ITD Consulting, ciberseguridad, ciberataque, Snowflake, epam, datos personales

Compromiso de EPAM systems

Según los hackers del grupo ShinyHunters, algunos accesos se lograron vulnerando los sistemas de un proveedor bielorruso que trabajaba con los clientes afectados. Esta empresa, EPAM Systems, ha negado cualquier implicación en las filtraciones.

Sin embargo, uno de los hackers afirmó haber utilizado datos encontrados en un sistema de empleados de EPAM para acceder a algunas cuentas de Snowflake.

Detalles del ataque a EPAM systems

EPAM Systems es una empresa dedicada a la ingeniería de software y servicios digitales, que cotiza en bolsa y fue fundada por Arkadiy Dobkin, nacido en Bielorrusia. La empresa tiene ingresos anuales de aproximadamente 4,800 millones de dólares y cuenta con 300 empleados experimentados en el uso de las herramientas y servicios de análisis de datos de Snowflake.

El hacker que habló con WIRED afirma que una computadora perteneciente a uno de los empleados de EPAM en Ucrania fue infectada con un malware info-stealer (destinado a robar credenciales) a través de un ataque de spear-phishing. Una vez en el sistema del empleado de EPAM, el hacker instaló un troyano de acceso remoto que le permitió ingresar por completo a todo lo que había en el equipo del trabajador.

Encontraron nombres de usuario y contraseñas sin cifrar que el trabajador utilizó para consultar y administrar las cuentas Snowflake de los clientes de EPAM, incluida una para Ticketmaster.

El hacker sostiene que las credenciales estaban almacenadas en la máquina del empleado en una herramienta de gestión de proyectos llamada Jira. Los hackers lograron aprovechar esas credenciales, ya que estas no requerían autenticación multifactor (MFA).

Impacto del malware info-stealer

Los infostealers han demostrado ser una herramienta eficaz para los ciberdelincuentes. La capacidad de estas herramientas para recolectar credenciales y otros datos sensibles sigue siendo una amenaza significativa.

Las empresas deben ser conscientes de los riesgos y tomar medidas proactivas para mitigarlos. Mandiant declaró que alrededor del 80% de las víctimas que identificó en la campaña Snowflake se vieron comprometidas mediante credenciales que previamente habían sido robadas y expuestas por infostealers.

Reacción de EPAM systems

EPAM ha negado cualquier implicación en las filtraciones y ha sugerido que el hacker había inventado la historia. La empresa mantiene que no ha encontrado evidencia de haber estado implicada en los hechos tras realizar una investigación interna exhaustiva. EPAM sostiene que cuenta con medidas de seguridad robustas para proteger sus operaciones y a sus clientes.

Impacto y alcance del robo

Los datos robados de Santander incluían detalles bancarios de 30 millones de clientes, entre ellos seis millones de números de cuenta y saldos, 28 millones de números de tarjetas de crédito e información de recursos humanos sobre el personal.

Estos datos fueron publicados por los hackers en un post en internet. Otros afectados, como LendingTree y Advance Auto Parts, también han comunicado que podrían ser víctimas, aunque no han confirmado los detalles.

Las credenciales obtenidas por los infostealers a menudo se publican en internet o se ponen a la venta en foros de hackers. Si las víctimas no modifican sus credenciales de acceso después de una intrusión, estas permanecen activas y disponibles durante años.

Esto es especialmente problemático si esas credenciales se usan en varias cuentas, ya que los hackers pueden identificar al usuario a través de la dirección de email y, si la persona reutiliza la misma contraseña, pueden probar esas credenciales en varios sitios.

Respuesta de las empresas

Acciones de Snowflake

Snowflake ha emitido declaraciones negando que su plataforma sea la responsable directa de las brechas. El Director de Seguridad de Información de Snowflake, Brad Jones, ha reconocido la necesidad de implementar medidas de autenticación multifactor de manera obligatoria para proteger mejor las cuentas de sus clientes.

Investigaciones en curso

EPAM, por su parte, ha declarado que no encuentra evidencias de haber estado implicada en las filtraciones y sugiere que las afirmaciones de los hackers son inventadas. La empresa está realizando una investigación exhaustiva sobre el asunto.

El robo de datos a clientes de Snowflake: Un análisis exhaustivo, innovación tecnológica, ITD Consulting, ciberseguridad, ciberataque, Snowflake, epam, data

Medidas adicionales

Snowflake está trabajando para ofrecer a sus clientes la posibilidad de exigir a los usuarios de sus cuentas que empleen la MFA en el futuro «por defecto». Esta medida es crucial para mejorar la seguridad de las cuentas y prevenir futuros ataques similares.

Futuro de la seguridad en Snowflake

Snowflake, junto con Mandiant, está trabajando para mejorar la seguridad de su plataforma y de sus clientes. La implementación de medidas como la autenticación multifactor obligatoria es un paso en la dirección correcta para Snowflake. Sin embargo, las empresas también deben estar atentas y adoptar prácticas de seguridad adicionales para proteger sus datos.

Lecciones aprendidas

El robo de datos a clientes de Snowflake ha puesto de manifiesto importantes debilidades en las prácticas de seguridad de las empresas y la vulnerabilidad que representa el uso de credenciales robadas.

Este incidente en Snowflake debe servir como un llamado de atención para que las organizaciones refuercen sus medidas de seguridad y adopten estrategias más sólidas para proteger sus datos en la nube.

La colaboración entre Snowflake, Mandiant y otras partes interesadas será crucial para prevenir futuros incidentes y asegurar que los entornos de almacenamiento en la nube sean tan seguros como sea posible.

La industria debe aprender de este incidente y tomar medidas proactivas para proteger los datos sensibles en un mundo cada vez más digitalizado.

Recomendaciones para mejorar la seguridad

1. Implementación de autenticación multifactor

Una de las medidas más efectivas para mejorar la seguridad de las cuentas es la implementación de la autenticación multifactor (MFA). Esta medida agrega una capa adicional de seguridad al requerir que los usuarios proporcionen una segunda forma de verificación, como un código temporal, además de su contraseña.

2. Actualización regular de credenciales

Es crucial que las empresas implementen políticas para la actualización regular de credenciales. Esto incluye cambiar las contraseñas periódicamente y asegurarse de que las contraseñas comprometidas se actualicen inmediatamente después de cualquier incidente de seguridad.

3. Monitoreo y auditoría de seguridad

El monitoreo continuo y la auditoría regular de la seguridad son esenciales para detectar y responder a amenazas en tiempo real. Las empresas deben invertir en soluciones de seguridad que les permitan supervisar el acceso a sus sistemas y detectar actividades sospechosas.

4. Capacitación en seguridad para empleados

La capacitación en seguridad para los empleados es fundamental. Los empleados deben ser conscientes de las amenazas cibernéticas y saber cómo protegerse contra ellas. Esto incluye la capacitación sobre cómo identificar intentos de phishing y otras tácticas de ingeniería social.

5. Restricción de accesos

Las empresas deben implementar políticas de acceso estrictas, asegurándose de que los empleados solo tengan acceso a la información y los sistemas necesarios para realizar sus tareas. El principio del mínimo privilegio ayuda a reducir el riesgo de compromisos internos.

6. Implementación de listas de permitidos

La implementación de listas de permitidos de red puede ayudar a restringir el acceso a las cuentas solo a direcciones IP específicas. Esta medida puede prevenir el acceso no autorizado incluso si las credenciales se ven comprometidas.

7. Evaluaciones de seguridad

Realizar evaluaciones de seguridad periódicas puede ayudar a identificar y corregir vulnerabilidades en los sistemas antes de que sean explotadas por atacantes. Estas evaluaciones pueden incluir pruebas de penetración y auditorías de seguridad.

El robo de datos a clientes de Snowflake: Un análisis exhaustivo, innovación tecnológica, ITD Consulting, ciberseguridad, ciberataque, Snowflake, epam, robo de información

El robo de datos a clientes de Snowflake ha puesto de manifiesto importantes debilidades en las prácticas de seguridad de las empresas y la vulnerabilidad que representa el uso de credenciales robadas.

Este incidente en Snowflake debe servir como un llamado de atención para que las organizaciones refuercen sus medidas de seguridad y adopten estrategias más sólidas para proteger sus datos en la nube.

La colaboración entre Snowflake, Mandiant y otras partes interesadas será crucial para prevenir futuros incidentes y asegurar que los entornos de almacenamiento en la nube sean tan seguros como sea posible.

La seguridad en la nube es una responsabilidad compartida entre los proveedores de servicios y sus clientes. Ambos deben trabajar juntos para implementar medidas de seguridad efectivas y proteger los datos contra amenazas en constante evolución.

Este incidente en Snowflake debe servir como un recordatorio de la importancia de la seguridad y la necesidad de estar siempre vigilantes y proactivos en la protección de nuestros datos. Si quieres saber más de medidas de ciberseguridad para tu empresa, escríbenos a [email protected]. Tenemos un equipo de ciberseguridad para ayudarte.

¿Quieres AHORRAR?
¡Cámbiate con nosotros!

✔️Correo Corporativo M365. 50gb por usuario
✔️1 Tera espacio cloud por usuario.

¿Quieres AHORRAR? ¡Cámbiate con nosotros!

🤩 🗣 ¡Cámbiate con nosotros y ahorra!

Si aún no trabajas con Microsoft 365, comienza o MIGRA desde Gsuite, Cpanel, otros, tendrás 50% descuento: 

✔️Correo Corporativo M365. 50gb por usuario.

✔️1 Tera espacio cloud por usuario. 

✔️Respaldo documentos. Ventajas: – Trabajar en colaboración Teams sobre el mismo archivo de Office Online en tiempo real y muchas otras ventajas.

¡Compártenos tus datos de contacto y nos comunicaremos contigo!