Tarlogic presenta una investigación sobre el mercado de filtraciones de datos falsas
• El equipo de Ciberinteligencia de Tarlogic presenta en la RootedCON una investigación sobre la economía sumergida que existe en torno a la generación de filtraciones de datos obsoletos, manipulados o completamente falsos
• Los leaks falsos son también una herramienta de extorsión, desinformación dirigida y manipulación narrativa
Administraciones públicas como el Ministerio de Hacienda o la Agencia Tributaria, compañías energéticas, multinacionales tecnológicas como Meta o NordVPN y empresas del sector textil como Canada Goose han desmentido en los últimos meses haber sufrido filtraciones de datos publicitadas en foros y difundidas en blogs y redes sociales. Estos casos no son anecdóticos. El Área de Ciberinteligencia de Tarlogic Security ha realizado una investigación sobre el negocio mundial detrás de las filtraciones de datos obsoletos, manipulados o completamente falsos que se venden como información nueva y sustraída recientemente.
Los resultados de esta investigación acaban de ser presentados por Alejandro Julián Pachés, Senior Threat Intelligence Analyst de Tarlogic, en el transcurso de la RootedCON, el mayor evento de ciberseguridad en habla hispana.
El equipo de Tarlogic se ha infiltrado en los foros donde se comercializan y difunden los leaks falsos para entender cómo se prepara la información para dotarla con apariencia de veracidad y determinar cuáles son las motivaciones de los actores que operan en este mercado.
Además, se ha analizado cómo dañan la imagen de las empresas e instituciones acusadas de haber sufrido filtraciones que no tuvieron lugar y de qué manera deben encarar las organizaciones la gestión de estas crisis.
Leak as a Service. Un mercado mundial de filtraciones falsas
En los últimos años, tanto las compañías como las administraciones públicas han reforzado sus estrategias de seguridad para prevenir las brechas de datos y, en especial, la filtración de datos sensibles de clientes o ciudadanos.
Ante este escenario, algunos grupos delictivos han pasado a operar un mercado mundial de filtraciones falsas al que se puede acceder a través de foros para adquirir leaks irreales, como han certificado los investigadores de Tarlogic tras interactuar con múltiples actores que se benefician de este negocio ilegal.
Mediante un modelo de Leak as a Service, los ciberdelincuentes comercializan filtraciones de datos de empresas. Sin embargo, los leaks no son reales, sino que los datos son antiguos, han sido elaborados combinando información de filtraciones pasadas, se han manipulado o se han generado sintéticamente para aparentar credibilidad.
Gracias a este modelo, atacantes sin conocimientos ni recursos técnicos para comprometer la seguridad de las organizaciones pueden disponer de datos que, aparentemente, avalan la existencia de filtraciones.
Además, el equipo de Ciberinteligencia de Tarlogic Security ha detectado que en estos foros no solo se comercializan las filtraciones falsas, sino que se ofrece la posibilidad de elaborar publicaciones en blogs y webs para dar difusión a la filtración que no se ha producido.
Este mercado de filtraciones falsas supone un cambio de paradigma. Puesto que lo importante ya no son los datos, sino la capacidad de difundir la existencia de una filtración que no se ha producido y, así, provocar un daño reputacional de gran envergadura.
El objetivo económico sería la principal motivación
Los grupos delictivos que apuestan por el modelo Leak as a Service buscan obtener ganancias directas al vender las filtraciones a terceros a través de los foros.
Los actores que adquieren los leaks pueden emplearlos para:
- Extorsionar a las empresas a las que supuestamente se ha atacado con éxito, amenazándolas con hacer pública información sobre sus clientes, socios o trabajadores.
- Difundir los datos falsos para dañar la reputación de una compañía o administración, imponer una narrativa en torno a la debilidad de la estrategia de ciberseguridad de la organización y desinformar generando sensación de alarma entre la ciudadanía. Con respecto a esta última cuestión, debemos tener en cuenta que ciudadanos y clientes pueden temer que sus datos personales sean empleados para cometer fraudes contra ellos.
Igualmente, como señaló Alejandro Julián Pachés durante su presentación, no podemos perder de vista que algunos actores fabrican filtraciones de datos falsas para ganar notoriedad y credibilidad en foros donde interactúan actores maliciosos. Puesto que aseverar que se ha comprometido una gran compañía o un gobierno garantiza una exposición notable.
Gestionar incidentes falsos con precisión y rapidez, un desafío de primer nivel para las organizaciones
Enfrentarse a una brecha de seguridad es una tarea compleja, pero los equipos de análisis y de respuesta a incidentes están preparados para ello y las empresas cuentan con planes para lidiar con estas situaciones. Pero… ¿cómo se gestiona una crisis en la que la seguridad no se ha visto afectada?
En este escenario, las empresas se ven forzadas a activar sus comités de crisis y tomar decisiones de gran trascendencia a nivel de seguridad e imagen, pero también en lo que respecta a sus obligaciones legales. Puesto que no podemos perder de vista que si se ha producido una brecha de datos personales es obligatorio informar a la Agencia Española de Protección de Datos y, en muchos casos, a las personas que se hayan podido ver afectadas.
A partir de la experiencia acumulada por el equipo de Tarlogic en la gestión de esta clase de incidentes, la investigación presentada en la RootedCON concluye que el análisis pormenorizado del evento es fundamental para comprender si este es falso o no.
Esto implica analizar el autor que divulga el leak, su histórico, perfiles asociados, lenguaje comunicativo, patrones de filtraciones similares, congruencia de los datos supuestamente exfiltrados, patrones de divulgación de estos, interactuar con este y su entorno cuando opera en diferentes foros, etc. Actividad que no puede quedar relegada a herramientas automatizadas.
Asimismo, los comités de crisis de las compañías y las instituciones deben estar preparados para gestionar incidentes falsos incorporando este tipo de escenarios en sus planes de gestión de crisis y de comunicación.
Tarlogic, una compañía líder en la investigación de amenazas contra empresas
Esta investigación sobre el mercado de filtraciones de datos falsas y su impacto en las compañías se circunscribe dentro del trabajo continuo del Área de Ciberinteligencia de Tarlogic en la lucha contra los fraudes y las amenazas que se ciernen sobre el tejido productivo.
A lo largo de los últimos años, los especialistas en Threat Intelligence de la compañía han recopilado información sobre las amenazas existentes en cada sector económico, diseñado posibles escenarios de ataque y contribuido a la adopción de medidas de prevención y a la toma de decisiones en materia de ciberseguridad para evitar incidentes o minimizar su impacto.
Desde que comenzó su actividad, hace más de una década, Tarlogic Security se ha consolidado como una firma puntera en la investigación de amenazas. Actualmente, la compañía presta servicios de ciberseguridad, ciberinteligencia y auditoría de servicios defensivos y ofensivos en Europa y Estados Unidos y trabaja con multinacionales y empresas cotizadas de un amplio abanico de sectores.