por Mauricio González
maurigs at geekmagazine.mx
El objetivo principal de los ciberataques es robar datos. A principios de este verano, los atacantes obtuvieron acceso a los nombres de usuario y contraseñas de los clientes de Snowflake, lo que les permitió ingresar a los sistemas de empresas como Santander y Ticketmaster. Recientemente, el proveedor de ciberseguridad Fortinet confirmó que aproximadamente 440 GB de datos estaban comprometidos. A menudo se desconoce el verdadero alcance de estos ataques. En ese momento, Santander informó que sólo una pequeña parte de sus datos se vio afectada, muchos de ellos insignificantes. Pero los atacantes afirmaron haber vendido la información de 30 millones de clientes bancarios.
Como resultado, es probable que los 440 GB de datos comprometidos de Fortinet aumenten en los próximos meses. Según la firma de ciberseguridad, el ataque afectó a una cantidad limitada de archivos almacenados en una unidad de archivos compartidos en la nube de terceros que contiene datos de una pequeña cantidad de clientes de Fortinet. Esta cifra equivale a cerca del 0,3% de todos sus clientes.
Como es habitual cuando se reporta un ciberataque, los departamentos de comunicación de las empresas intentan minimizar los posibles daños, aunque estos suelen aumentar con el tiempo. En este caso, no es diferente, ya que la compañía afirma que las operaciones, productos y servicios de Fortinet no se vieron afectados y que no han encontrado evidencia de acceso adicional a otros recursos de Fortinet. No se produjo cifrado de datos, implementación de ransomware ni acceso a la red corporativa de Fortinet durante el incidente.
En lo que va del año, Fortinet ha sido víctima de cuatro ciberataques significativos
Fortinet también afirma que no se ha detectado ninguna actividad maliciosa dirigida a sus clientes como resultado de la intrusión. Sin embargo, el ciberdelincuente rápidamente puso a la venta en la dark web los 440 GB de archivos con datos de clientes de Fortinet. El atacante asegura haber contactado a Fortinet para exigir un rescate a cambio de no divulgar los datos, pero la empresa se negó a pagar.
Se ha acusado a la empresa de no notificar a la SEC (la Comisión de Bolsa y Valores de EE. UU.) sobre el robo de datos. Fortinet ha admitido esto, justificándose al afirmar que, debido a la naturaleza limitada del incidente, no han experimentado, ni creen que sea probable que el incidente tenga un impacto significativo en su situación financiera o en sus resultados operativos. La empresa sostiene que el incidente no afectará su desempeño financiero ni sus operaciones.
Un año difícil
La multinacional de ciberseguridad está atravesando un año complicado. Este no es el único incidente que ha enfrentado en 2024. En enero, tuvo que abordar dos vulnerabilidades críticas en el código de su clúster FortiOS y FortiProxy HA.
En febrero, corrigió varias vulnerabilidades, una de las cuales afectó su sistema operativo y dejó expuestos a más de 100,000 dispositivos durante varios días, a pesar de que una banda de ciberdelincuentes chinos ya había comenzado a atacar esos dispositivos.
En el mes de junio, un grupo chino aprovechó una vulnerabilidad no detectada durante dos meses para atacar el Ministerio de Defensa de los Países Bajos. En este incidente, aproximadamente 20,000 firewalls FortiGate fueron comprometidos antes de que Fortinet lo descubriera. Este nuevo ataque confirma que la multinacional de ciberseguridad está atravesando uno de los peores años de su historia, lo que está afectando su reputación.
