Novedades de la semana: WordPress y ciberataques
El pasado 16 de mayo de 2023, el equipo central de WordPress lanzó la versión 6.2.1. Esta versión contiene parches para 5 vulnerabilidades de seguridad, incluyendo una vulnerabilidad de limitación incorrecta de la ruta a un directorio restringido (path traversal) de severidad media, una vulnerabilidad de Cross-Site Scripting (XSS) de severidad media y varias vulnerabilidades de menor severidad, además de corregir 20 errores en el Core y otros 10 en el editor de bloques.
Las soluciones a estas vulnerabilidades se han aplicado de forma retroactiva a todas las versiones de WordPress desde la 4.1. Desde la versión 3.7, WordPress ha introducido las actualizaciones automáticas del core para versiones de seguridad, y es de esperar que la mayoría de los sitios de WordPress reciban una actualización automática para su versión principal en las próximas 24 horas.
Como siempre, recomendamos encarecidamente actualizar tu sitio a una versión parcheada de WordPress si no se ha actualizado automáticamente, ya que una de las vulnerabilidades parcheadas en esta versión puede ser explotada por un atacante con una cuenta de colaborador de baja privilegio para tomar el control de un sitio.
El Grupo Euskaltel, incluyendo a sus marcas R y Telecable, ha confirmado rumores recientes sobre un ataque de ransomware que comprometió sus sistemas y alteró su servicio de atención al cliente. Los problemas, que se iniciaron la semana pasada, dificultaron la gestión de servicios y la atención de incidencias, además de obstaculizar la incorporación de nuevos abonados.
Euskaltel, ahora propiedad de MásMóvil, había mantenido silencio hasta ahora, pero las especulaciones en foros y redes sociales sobre un posible ataque de ransomware no han dejado de crecer. Aunque los sistemas se restauraron durante el domingo, esta mañana, un blog de la dark web arrojó luz sobre la verdadera gravedad del incidente.
El blog de filtraciones de ransomware LockBit 3.0 Leaked Data publicó a las 10:30 dos entradas dedicadas a Euskaltel y R, afirmando haber accedido y copiado 3 TB de información de R y otros 100 GB de Euskaltel. Las capturas de pantalla publicadas incluyen acuerdos de confidencialidad, registros de contabilidad interna, datos de despliegue de fibra FTTH, estadísticas de productividad de los equipos comerciales, y listas de nombres y DNI de clientes, entre otros.
Los ciberdelincuentes también anunciaron una cuenta atrás para la divulgación pública de estos datos el próximo 5 de junio, aparentemente intentando presionar a Euskaltel y R para que paguen un rescate.
LockBit 3.0 es la última iteración de un ransomware diseñado para extorsionar a organizaciones mediante la codificación y copia de archivos con contenido de valor. Las víctimas son amenazadas con la divulgación de la información robada a menos que paguen un rescate.
El ataque inicial se produjo el jueves pasado, causando la interrupción de los servicios de atención al cliente y de la autogestión de los usuarios. Euskaltel inicialmente solo mencionó una “incidencia técnica”, pero la publicación en el blog de LockBit 3.0 Leaked Data ha confirmado la verdadera naturaleza del ataque.
En un preocupante giro de los eventos, Toyota, uno de los fabricantes de automóviles más prominentes del mundo, ha reconocido que sufrió una violación de seguridad de larga duración, afectando a más de dos millones de clientes. La brecha ocurrió debido a una base de datos en la nube incorrectamente configurada.
Esta vulnerabilidad permitió que actores no autorizados tuvieran acceso a la base de datos sin requerir una contraseña entre el 6 de noviembre de 2013 hasta el 17 de abril de 2023. La información expuesta incluía números de chasis, identificadores de terminales de navegación GPS, ubicaciones de los vehículos y datos horarios. No obstante, es importante señalar que estos datos no contenían ningún tipo de información personal identificable.
El incidente afectó a aquellos que utilizaron los servicios T-Connect G-Link, G-Link Lite o G-BOOK de Toyota durante el periodo en cuestión. Aunque no se ha detectado el uso malicioso de los datos filtrados hasta el momento, la gravedad de esta violación no debe ser subestimada. La capacidad de rastrear la ubicación en tiempo real de más de dos millones de vehículos representa un potencial problema de seguridad significativo.
Además, Toyota ha mencionado la posibilidad de que se hayan expuesto grabaciones de video del exterior de sus vehículos entre el 14 de noviembre de 2016 y el 4 de abril de 2023.
En respuesta al descubrimiento de la violación, Toyota ha implementado medidas de seguridad para bloquear el acceso externo a la base de datos. Las investigaciones continúan, centradas en todos los entornos de la nube administrados por Toyota Connected Corporation.
Este incidente sigue a brechas de seguridad anteriores en la filial india de Toyota y la filtración de datos de 300.000 clientes de su servicio Connect el año pasado.
El caso de Toyota subraya la importancia de una gestión de la ciberseguridad adecuada y responsable para las empresas de todos los sectores. Los datos de los clientes deben ser tratados con la máxima seguridad para garantizar su protección y mantener la confianza de los clientes en la marca.
A medida que las tácticas de los ciberdelincuentes se vuelven cada vez más sofisticadas, es crucial que las empresas refuercen sus defensas y adopten medidas proactivas para proteger la información confidencial.