Desde CSIRT-CV nos hemos planteado una campaña de concienciación más divulgativa y no tanto centrada en los propios consejos de concienciación. Lo que se ha pretendido en este caso ha sido mostrar cómo de peligrosos pueden llegar a ser los incidentes relativos a la seguridad en el ciberespacio.
Para ello, de manera diaria os hemos hablado de grandes hackeos de la historia, desde intrusiones en instalaciones muy protegidas, robos de millones de dólares o la repercusión que pudo haber tenido Stuxnet, el primer malware diseñado para atacar a dispositivos industriales, en particular dirigido a centrales nucleares.
A continuación, un resumen de la campaña que hemos llevado a cabo:
En la década de los 90, Mark Abene conocido como Phiber Optik colapsó la red de ordenadores de uno de los principales canales de TV de New York. En esa misma década, el conocido hacker Kevin Mitnick fue acusado por el gobierno estadounidense por haber substraÃdo información confidencial del FBI, intrusiones en corporaciones como Novell, Motorola, Nokia o el pentágono. Otro hacker conocido de la época era Vladimir Levin, que robó hasta 10 millones de dólares a diversas entidades financieras, entre ellas Citibank.
La era de los 2000 la marca el malware Stuxnet, detectado en Junio 2010 en una central nuclear en Irán. Se trata del primer malware con capacidad de atacar instalaciones industriales, en este caso pretendÃa dañar las centrifugadoras de la central para ralentizar el proceso de enriquecimiento de Uranio.
Durante el 2014 tuvieron lugar diversos hackeos de especial relevancia. Sony sufrió un hackeo por el que los atacantes podrÃan haber obtenido 100 Tbytes de datos económicos, laborales, médicos, pelÃculas, correos, etc. Por otra parte, un grupo de atacantes se hizo con la emisión de 11 canales de televisión de la cadena francesa TV5 Monde durante 18 horas y el banco JPMorgan, que sufrió un ataque que comprometió los datos de más de 80 millones de clientes, lo que le provocó numerosas pérdidas.
El pasado 2015 se produjo un hackeo muy sonado por el impacto mediático que tuvo. Se filtró la lista de clientes de Ashley Madison (junto con datos personales como tarjetas de crédito), una conocida red social dirigida a personas que querÃan ser infieles a sus parejas.
También en 2015, algunos medios alemanes, de acuerdo con un informe del Gobierno publicado, aseguraron que atacantes sin identificar habrÃan enviado órdenes a los sistemas de misiles Patriot pertenecientes a Alemania y estacionados en TurquÃa. Ese mismo año FORD detectó un peligroso bug en el software de algunos de sus vehÃculos que impedirÃa que se apagase el motor incluso sin la llave en el contacto.
El 2015 dejó muchos #grandeshackeos, como el de la oficina de gestión de personal de EEUU, que detectó que habÃa sufrido un ataque en sus sistemas informáticos por el que datos personales de 4 millones de usuarios podrÃan haber sido comprometidos. O la empresa Boeing que confirmó que sus modelos de avión comercial 757 podrÃan pararse debido a un error en el software del avión.
Pero sin duda, el hackeo más sonado del año fue el de la empresa Hacking Team, que ofrecÃa sus servicios de vigilancia a muchos paÃses. Cientos de miles de correos y documentos internos fueron expuestos y se evidenció que trataban con gobiernos represores, cosa que aseguraban que no hacÃan.
No hay que olvidar que el 2015 finalizó con un ataque a infraestructuras industriales. En diciembre de ese año, los cerca de 1,4 millones de habitantes de la región de Ivano-Frankivsk, en Ucrania, vieron interrumpido el suministro de electricidad durante unas horas debido a un malware denominado BlackEnergy.
En lo que va de 2016, los #grandeshackeos están afectando al sector bancario sobre todo. A través de una vulnerabilidad que afecta a la infraestructura SWIFT se están produciendo diferentes robos a bancos. El más sonado hasta ahora ha sido el robo al banco de Bangladesh, de casi 100 millones de dólares.
Estos son algunos de los casos, sobre incidentes reales, que os hemos recordado durante el verano con el hashtag #grandeshackeos. Además, puedes encontrar el resumen de todas nuestras campañas de concienciación en la siguiente sección de nuestro portal:
www.csirtcv.gva.es/es/paginas/campañas-de-concienciación.html
Seguiremos pendientes de todos los #grandeshackeos que acontecen y os los seguiremos contando, esperemos que el próximo verano.