{"id":1234587,"date":"2024-06-12T13:57:50","date_gmt":"2024-06-12T13:57:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/lecciones-de-la-brecha-entre-ticketmaster-y-snowflake\/"},"modified":"2024-06-12T13:57:54","modified_gmt":"2024-06-12T13:57:54","slug":"lecciones-de-la-brecha-entre-ticketmaster-y-snowflake","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lecciones-de-la-brecha-entre-ticketmaster-y-snowflake\/","title":{"rendered":"Lecciones de la brecha entre Ticketmaster y Snowflake"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Lecciones-de-la-brecha-entre-Ticketmaster-y-Snowflake.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La semana pasada, la famosa banda de hackers ShinyHunters caus\u00f3 conmoci\u00f3n en todo el mundo al supuestamente saquear 1,3 terabytes de datos de 560 millones de usuarios de Ticketmaster.  Esta colosal violaci\u00f3n, con un precio de 500.000 d\u00f3lares, podr\u00eda exponer la informaci\u00f3n personal de una gran parte de la clientela de la compa\u00f1\u00eda de eventos en vivo, provocando una tormenta de preocupaci\u00f3n e indignaci\u00f3n. <\/p>\n<h2 style=\"text-align: left;\">Una filtraci\u00f3n masiva de datos <\/h2>\n<p>Repasemos los hechos.  Live Nation ha confirmado oficialmente la infracci\u00f3n en una presentaci\u00f3n 8-K ante la SEC.  De acuerdo con la <a rel=\"nofollow noopener\" href=\"https:\/\/www.sec.gov\/Archives\/edgar\/data\/1335258\/000133525824000081\/lyv-20240520.htm\" target=\"_blank\">documento<\/a> publicado el 20 de mayo, la compa\u00f1\u00eda &#8220;identific\u00f3 actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contiene datos de la Compa\u00f1\u00eda&#8221;, principalmente de la subsidiaria Ticketmaster.  La presentaci\u00f3n afirma que Live Nation inici\u00f3 una investigaci\u00f3n y est\u00e1 cooperando con las autoridades.  Hasta ahora, la empresa no cree que la infracci\u00f3n vaya a tener un impacto material en sus operaciones comerciales. <\/p>\n<p>Llama la atenci\u00f3n que el mismo grupo de hackers tambi\u00e9n est\u00e9 ofreciendo datos supuestamente del Santander.  Seg\u00fan las afirmaciones, los datos robados contienen informaci\u00f3n confidencial que pertenece a millones de empleados y clientes de Santander.  El banco confirm\u00f3 que se accedi\u00f3 a &#8220;una base de datos alojada por un proveedor externo&#8221;, lo que provoc\u00f3 fugas de datos de clientes en Chile, Espa\u00f1a y Uruguay, as\u00ed como de todos los empleados actuales y antiguos de Santander. <\/p>\n<h2 style=\"text-align: left;\">La conexi\u00f3n a la nube <\/h2>\n<p>Lo que podr\u00eda vincular estas dos infracciones es la empresa de datos en la nube Snowflake, que cuenta entre sus usuarios tanto a Santander como a Live Nation\/Ticketmaster. <a rel=\"nofollow noopener\" href=\"https:\/\/techcrunch.com\/2024\/05\/31\/live-nation-confirms-ticketmaster-was-hacked-says-personal-information-stolen-in-data-breach\/\" target=\"_blank\">Ticketmaster confirm\u00f3 que la base de datos robada estaba alojada en Snowflake<\/a>. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/06\/03\/snowflake-recommends-customers-take-steps-prevent-unauthorized-access\" target=\"_blank\">Snowflake public\u00f3 una advertencia con CISA<\/a>, lo que indica un &#8220;aumento reciente en la actividad de amenazas cibern\u00e9ticas dirigidas a cuentas de clientes en su plataforma de datos en la nube&#8221;.  Snowflake emiti\u00f3 una recomendaci\u00f3n para que los usuarios consulten los registros de la base de datos en busca de actividad inusual y realicen an\u00e1lisis adicionales para evitar el acceso de usuarios no autorizados. <\/p>\n<p>En un comunicado separado, el CISO de Snowflake, Brad Jones, dej\u00f3 claro que el sistema Snowflake en s\u00ed no fue violado.  Seg\u00fan Jones, &#8220;esto parece ser una campa\u00f1a dirigida a usuarios con autenticaci\u00f3n de un solo factor&#8221;, y los actores de amenazas han aprovechado las credenciales obtenidas previamente a trav\u00e9s de varios m\u00e9todos. <\/p>\n<p>Snowflake tambi\u00e9n enumer\u00f3 algunas recomendaciones para todos los clientes, como aplicar la autenticaci\u00f3n multifactor (MFA) en todas las cuentas, configurar reglas de pol\u00edtica de red para permitir el acceso al entorno de la nube solo desde ubicaciones confiables preestablecidas y restablecer y rotar las credenciales de Snowflake. <\/p>\n<h2 style=\"text-align: left;\">Simplificando la ciberseguridad <\/h2>\n<p>Tendemos a romantizar la ciberseguridad, y es una disciplina incre\u00edblemente dif\u00edcil y compleja en TI.  Sin embargo, no todos los desaf\u00edos de la ciberseguridad son igualmente dif\u00edciles.  La orientaci\u00f3n ofrecida por Snowflake realmente deja claro este punto: la MFA es imprescindible.  Es una herramienta incre\u00edblemente eficaz contra una variedad de ataques cibern\u00e9ticos, incluidos <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/learn\/what-is-credential-stuffing.aspx\" target=\"_blank\">relleno de credenciales<\/a>. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.mitiga.io\/blog\/tactical-guide-to-threat-hunting-in-snowflake-environments\" target=\"_blank\">Investigaci\u00f3n realizada por la empresa de seguridad en la nube Mitiga<\/a> afirma que los incidentes de Snowflake son parte de una campa\u00f1a en la que un actor de amenazas utiliza credenciales de clientes robadas para atacar a organizaciones que utilizan bases de datos de Snowflake.  Seg\u00fan la investigaci\u00f3n publicada, &#8220;el actor de amenazas aprovech\u00f3 principalmente entornos que carec\u00edan de autenticaci\u00f3n de dos factores&#8221; y los ataques generalmente se originaban en IP de VPN comerciales. <\/p>\n<p>Las pol\u00edticas son tan efectivas como su implementaci\u00f3n y cumplimiento.  Es posible que existan tecnolog\u00edas como el inicio de sesi\u00f3n \u00fanico (SSO) corporativo y MFA, pero no se aplican realmente en todos los entornos y usuarios.  No deber\u00eda haber ninguna posibilidad de que los usuarios a\u00fan puedan autenticarse usando nombre de usuario\/contrase\u00f1a fuera de SSO para acceder a cualquier recurso corporativo.  Lo mismo ocurre con MFA: en lugar de la autoinscripci\u00f3n, deber\u00eda ser obligatoria para todos los usuarios en todos los sistemas y todos los entornos, incluidos los servicios de nube y de terceros. <\/p>\n<h2 style=\"text-align: left;\">\u00bfTienes el control total? <\/h2>\n<p><em>No hay nube, es solo la computadora de otra persona<\/em>, como dice el viejo refr\u00e1n.  Y si bien usted (y su organizaci\u00f3n) disfrutan de un gran acceso a los recursos de esa computadora, en \u00faltima instancia, ese acceso nunca es completo, una limitaci\u00f3n inherente a la computaci\u00f3n en la nube.  Las tecnolog\u00edas de nube multiinquilino logran econom\u00edas de escala al limitar lo que un solo cliente puede hacer en esa &#8220;computadora&#8221;, y eso a veces incluye la capacidad de implementar seguridad. <\/p>\n<p>Un ejemplo de ello es la rotaci\u00f3n autom\u00e1tica de contrase\u00f1as.  Las herramientas modernas de gesti\u00f3n de acceso privilegiado, como One Identity Safeguard, pueden rotar las contrase\u00f1as despu\u00e9s de su uso.  Esto los hace efectivamente de un solo uso e inmuniza el entorno contra ataques de relleno de credenciales, pero tambi\u00e9n contra amenazas m\u00e1s sofisticadas como los registradores de pulsaciones de teclas, que se utilizaron en el hack de LastPass.  Sin embargo, la API que proporciona esta funci\u00f3n debe estar presente.  Snowflake proporciona la interfaz para actualizar las contrase\u00f1as de los usuarios, por lo que correspond\u00eda al cliente usarla y rotar las contrase\u00f1as seg\u00fan el uso o el tiempo. <\/p>\n<p>Al elegir d\u00f3nde alojar datos cr\u00edticos para el negocio, aseg\u00farese de que la plataforma ofrezca estas API a trav\u00e9s de <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/what-is-privileged-identity-management\/\" target=\"_blank\">gesti\u00f3n de identidad privilegiada<\/a> y le permite incorporar el nuevo entorno bajo su paraguas de seguridad corporativa.  MFA, SSO, rotaci\u00f3n de contrase\u00f1as y registro centralizado deber\u00edan ser requisitos b\u00e1sicos en este panorama de amenazas, ya que estas caracter\u00edsticas permiten al cliente proteger los datos de su parte. <\/p>\n<h2 style=\"text-align: left;\">La identidad no humana <\/h2>\n<p>Un aspecto \u00fanico de la tecnolog\u00eda moderna es la <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/webcast-ondemand\/securing-and-managing-non-human-identities\/\" target=\"_blank\">identidad no humana<\/a>.  Por ejemplo, se conf\u00eda en las herramientas RPA (automatizaci\u00f3n rob\u00f3tica de procesos) y tambi\u00e9n en las cuentas de servicio para realizar algunas tareas en la base de datos.  Proteger estas identidades es un desaf\u00edo interesante, ya que los mecanismos fuera de banda como las notificaciones autom\u00e1ticas o los tokens TOTP no son factibles para los casos de uso de cuentas de servicio. <\/p>\n<p>Las cuentas no humanas son objetivos valiosos para los atacantes, ya que suelen tener permisos muy potentes para realizar sus tareas.  Proteger sus credenciales siempre debe ser una prioridad para los equipos de seguridad.  Snowflake utiliza una multitud de cuentas de servicio para operar la soluci\u00f3n y <a rel=\"nofollow noopener\" href=\"https:\/\/www.snowflake.com\/blog\/snowflake-service-account-securitypart-1\/\" target=\"_blank\">desarroll\u00f3 una serie de publicaciones en el blog<\/a> sobre c\u00f3mo proteger estas cuentas y sus credenciales. <\/p>\n<h2 style=\"text-align: left;\">Se trata del costo <\/h2>\n<p>Los ciberdelincuentes tienen una l\u00f3gica brutalmente simple: maximizar las ganancias automatizando ataques masivos y apuntar a grandes grupos de v\u00edctimas con m\u00e9todos simples pero efectivos.  Los ataques de relleno de credenciales, como el tipo de ataque utilizado contra los inquilinos de Snowflake, son uno de los m\u00e9todos de ataque m\u00e1s baratos: el equivalente en 2024 al spam por correo electr\u00f3nico.  Y teniendo en cuenta su bajo coste, deber\u00eda ser casi 100% ineficaz.  El hecho de que al menos dos organizaciones importantes hayan perdido una cantidad significativa de datos cr\u00edticos pinta un panorama sombr\u00edo de nuestro estado actual de ciberseguridad global. <\/p>\n<h2 style=\"text-align: left;\">Conclusi\u00f3n <\/h2>\n<p>Al implementar controles simples como SSO, MFA y rotaci\u00f3n de contrase\u00f1as, el costo de los ataques a gran escala se vuelve prohibitivo.  Si bien esto no significa que los ataques dirigidos no tendr\u00e1n \u00e9xito o que los ataques de amenazas persistentes avanzadas (APT) sin fines de lucro ser\u00e1n disuadidos por completo, s\u00ed hace que los ataques masivos a este vector de ataque sean inviables, lo que hace que todos est\u00e9n un poco m\u00e1s seguros. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/lessons-from-ticketmaster-snowflake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La semana pasada, la famosa banda de hackers ShinyHunters caus\u00f3 conmoci\u00f3n en todo el mundo al supuestamente saquear<\/p>\n","protected":false},"author":1,"featured_media":1234588,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,11806,4664,372,4662,4668,201033,5273,4654,201031,4659,4653,4655,4666,4665,70765,201032,116621,4660],"class_list":["post-1234587","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-brecha","tag-como-hackear","tag-entre","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-lecciones","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-snowflake","tag-software-malicioso-ransomware","tag-ticketmaster","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1234587","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1234587"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1234587\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1234588"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1234587"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1234587"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1234587"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}