
Cuando Progress Corp, el fabricante de software comercial con sede en Massachusetts, reveló que su sistema de transferencia de archivos se había visto comprometido este mes, el problema adquirió rápidamente importancia mundial.
Una pandilla de habla rusa llamada Cl0p había utilizado la vulnerabilidad para robar información confidencial de cientos de compañías, incluidas British Airways, Shell y PwC. Se esperaba que los piratas informáticos intentaran extorsionar a las organizaciones afectadas, amenazando con divulgar sus datos a menos que se pagara un rescate.
Sin embargo, los expertos en seguridad cibernética dijeron que la naturaleza de los datos robados en el ataque, incluidas las licencias de conducir, la salud y la información de pensiones de millones de estadounidenses, sugiere otra forma en que los piratas informáticos sacarían provecho: estafas de robo de identidad, que combinadas con lo último en el llamado software deepfake puede resultar incluso más lucrativo que extorsionar a las empresas.
“No soy un delincuente, pero he estado estudiando esto durante mucho tiempo: si tuviera tanta información y fuera tan impecable, el cielo es el límite”, dijo Haywood Talcove, director ejecutivo de LexisNexis Risk Solutions. ‘División de Gobierno.
Los expertos han advertido durante mucho tiempo sobre el crecimiento de las estafas deepfake en las que los delincuentes combinan software de inteligencia artificial con información personal para crear semejanzas digitales realistas de personas para eludir los controles de seguridad tradicionales.
La cantidad de deepfakes utilizados en estafas solo en los primeros tres meses de 2023 superó a todo 2022 y algo más, según Sumsub, una plataforma de verificación con sede en Miami, con un crecimiento particularmente alto en Canadá, EE. UU., Alemania y el Reino Unido.
Esto se debe a que falsificar la identidad de un ciudadano occidental desbloquea no solo las estafas bancarias y en línea tradicionales, sino también el robo de beneficios gubernamentales.
Por ejemplo, Talcove dijo que el tipo de información robada en el hackeo de Progress (fotografías, nombres, fechas de nacimiento, domicilios y partes de sus números de seguro social) podría usarse para crear selfies en video falsos que muchas agencias estatales de EE. UU. usan para verificar identidades. .
Eso podría permitir a los delincuentes reclamar con éxito los beneficios de desempleo y solicitar préstamos universitarios federales, cupones de alimentos y otros programas. Calculó que cada identidad robada se puede aprovechar con éxito para robar hasta $ 2 millones solo de los programas de beneficios del gobierno.
“A medida que avanza la IA, más herramientas están disponibles para los estafadores. . . el uso de fraudes sintéticos está aumentando a un ritmo alarmante”, dijo Pavel Goldman-Kalaydin, de Sumsub, quien dice que la empresa tiene que seguir ideando nuevas formas de detectar estas falsificaciones sofisticadas.
El 1 de junio, después de que se violaron los datos de al menos uno de sus clientes, Progress reveló que los piratas informáticos habían encontrado una debilidad no descubierta previamente en su software que les permitía apuntar a sus clientes.
La brecha finalmente condujo al robo de terabytes de datos de los clientes de Progress, incluida la compañía petrolera Shell y los rivales contables PwC y EY, así como docenas de otras agencias gubernamentales estadounidenses, incluido el Departamento de Agricultura, los servicios de salud de Maryland y el sistema de pensiones de California. uno de los más grandes del mundo.
El extenso panorama de víctimas, muchas de las cuales aún no han reconocido públicamente la violación, están conectados entre sí por su dependencia de un software llamado MOVEit, creado por Progress, que se anunció como un método seguro para que las empresas cumplan con los datos. regulaciones de procesamiento, manteniendo segura su información más valiosa tanto en tránsito como en almacenamiento.
Se esperaba que la segunda parte del atraco fuera la extorsión: exigir el pago o filtrar los datos se coloca en la web oscura. Por ejemplo, los piratas informáticos publicaron recientemente una gran cantidad de datos de Shell, una indicación de que la empresa no pagó un rescate. Shell dijo que un número muy pequeño de sus empleados usaba el software y que el resto de sus sistemas estaban intactos.
“Este no fue un evento de ransomware”, dijo la compañía. “No hay evidencia de impacto en ningún otro sistema de TI de Shell. Nuestros equipos de TI están investigando”.
Los piratas informáticos, que se negaron a comentar por correo electrónico, también aprovecharon una webshell o puerta trasera altamente sofisticada que parece haber eludido las medidas de seguridad estándar de la industria de compañías como Microsoft o CrowdStrike, según dos personas familiarizadas con la investigación inicial del ataque.
Progress dijo que estaba trabajando con las fuerzas del orden y ayudando a sus clientes a proteger aún más sus datos, “incluida la aplicación de los parches que hemos lanzado”.
“Estamos comprometidos a desempeñar un papel de liderazgo y colaboración en el esfuerzo de toda la industria para combatir a los ciberdelincuentes cada vez más sofisticados y persistentes que intentan explotar maliciosamente las vulnerabilidades en los productos de software de uso generalizado”, dijo la compañía.
Progress confía en Charles River Associates, una consultora, la división forense de DLA Piper, el bufete de abogados y la seguridad cibernética Mandiant, propiedad de Google, mientras se prepara para las demandas en su contra.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. no respondió a múltiples solicitudes de comentarios.
Los gobernadores de Luisiana y Oregón sostuvieron discusiones de emergencia sobre el hackeo y les dijeron a los ciudadanos que congelen su crédito, cambien todas sus contraseñas y vigilen sus cuentas de beneficios.
“Los sindicatos del crimen organizado, las operaciones estatales y los grupos de fraude profesional son los que tienen más probabilidades de utilizar esta información. . . con la intención de cometer fraude de identidad global a gran escala”, dijo Ron Atzmon, fundador de AU10TIX, una empresa con sede en Israel que cuenta con Google, Microsoft, PayPal y LinkedIn entre sus clientes para la verificación de identidad.
Dado que los datos robados eran reales, dijo, “se verificará como genuinos cuando se intente cometer fraude, lo que permitirá que pasen por la mayoría de los puntos de control a nivel de casos”.
Agregó: “Creemos que en los próximos meses veremos un aumento en los ataques de fraude en serie en todos los ámbitos debido a la afluencia de información de identidad robada que llega a manos de estafadores profesionales”.
En el Sistema de Jubilación de Empleados Públicos de California, o Calpers, los piratas informáticos de Cl0p se llevaron los datos personales de unos 769.000 miembros jubilados y sus sobrevivientes. Los datos de los estadounidenses fallecidos recientemente fueron particularmente valiosos en el mercado negro, dijo un funcionario privado de seguridad cibernética involucrado en las investigaciones de varias víctimas.
“Abres una tarjeta de crédito a nombre de un muerto, pides préstamos, rediriges los pagos de la seguridad social, te inscribes en los beneficios de alimentos”, dijo la persona. “¿Quién va a hacer sonar la alarma?” él dijo.



