10 abr. 2021

CyberBattleSim: simulador de ataques informáticos de código abierto

Últimamente los ciberataques se han intensificado y no solo es dirigido a empresas, sino que muchas personas son afectadas por vulnerabilidades en los sistemas. Por esta razón, Microsoft ha lanzado un simulador de ataques informáticos de código abierto llamado CyberBattleSim en GitHub.

El gigante tecnológico comentó en una publicación de blog que el simulador CyberBattleSim está basado en el kit de herramientas Open IA Gym escrito en Python para entrenar a los agentes automatizados con algoritmos de aprendizaje por refuerzo. CyberBattleSim es una plataforma de investigación y experimentación que permite a expertos en ciberseguridad y a científicos de datos crear entornos de red simulados y ver cómo interactuan ante los ataques de una IA.

En otras palabras, las personas pueden crear modelos de nodos informáticos y hacer que un atacante simulado explote las vulnerabilidades, de esta manera se expone las deficiencias del sistema.

"Para adelantarse a los adversarios, que no muestran ningún tipo de restricción al adoptar herramientas y técnicas que pueden ayudarlos a alcanzar sus objetivos, Microsoft continúa aprovechando la inteligencia artificial y el aprendizaje automático para resolver los desafíos de seguridad", escribe William Blum del equipo de Microsoft 365 Defender.

El simulador es parte de los esfuerzos de la compañía dueña de Windows para utilizar la Inteligencia Artificial y el aprendizaje automático en la batalla contra los piratas informáticos.

Blum espera que la comunidad de seguridad pueda utilizar este simulador para refinar los esfuerzos de ciberseguridad y recibir retroalimentación.

"Con CyberBattleSim, solo estamos rascando la superficie de lo que creemos que es un enorme potencial para aplicar el aprendizaje por refuerzo a la seguridad. Invitamos a los investigadores y científicos de datos a aprovechar nuestra experimentación", concluye.

Fuente: RPP

9 abr. 2021

Janeleiro: nuevo troyano bancario que apunta a usuarios corporativos en Brasil

Investigadores de ESET han estado rastreando un nuevo troyano bancario que desde 2019 ha estado apuntando a usuarios corporativos de distintas industrias en Brasil, afectando a sectores como ingeniería, salud, retail, manufactura, finanzas, transporte y gobierno.

Esta nueva amenaza, a la que hemos llamado Janeleiro, intenta engañar a sus víctimas utilizando ventanas emergentes diseñadas para parecerse a las que utilizan los sitios web de algunos de los bancos más grandes de Brasil. Estas ventanas emergentes contienen formularios falsos, con el objetivo de engañar a las víctimas del malware para que ingresen sus credenciales bancarias e información personal. Esta información es capturada y exfiltrada por el malware a sus servidores de C&C. Para la implementación del núcleo de esta técnica, Janeleiro sigue exactamente el mismo modelo que algunas de las familias de malware más destacadas que se dirigen a la región de América Latina, como Casbaneiro, Grandoreiro, Mekotio, Amavaldo y Vadokrist, entre otros.

A diferencia de esas conocidas familias de malware, Janeleiro está escrito en Visual Basic .NET, una gran desviación con respecto al lenguaje de programación favorito (Delphi) que otras familias de troyanos bancarios que apuntan a la región han estado usando durante años. Janeleiro ha estado evolucionando con el objetivo de brindar a los operadores más control para manipular y ajustar sus falsas ventanas emergentes en función de lo que necesitan para realizar el ataque, enviar información de los clics del mouse y de las pulsaciones del teclado, y grabar en tiempo real la pantalla y la información ingresada por el usuario. La naturaleza de estos tipos de ataques no se caracteriza por sus capacidades de automatización, sino más bien por el enfoque práctico: en muchos casos, el operador debe ajustar las ventanas mediante comandos en tiempo real.

Los operadores parecen cómodos usando GitHub para almacenar sus módulos, administrando su página de organización y cargando nuevos repositorios todos los días en los cuales almacenan los archivos con las listas de los servidores de C&C que los troyanos recuperan para conectarse con sus operadores. Hacer que el malware dependa de una sola fuente es un enfoque interesante, pero ¿y si le dijéramos que la versión más nueva de Janeleiro solo vive un día?

El blanco: Brasil

Este malware apunta solo a usuarios corporativos. Los correos electrónicos maliciosos son enviados a empresas en Brasil, y pese a que no creemos que se trate de ataques dirigidos, parece que se envían en pequeños lotes. Según nuestra telemetría, los sectores afectados son ingeniería, salud, retail, manufactura, finanzas, transporte y gobierno.

En la figura se muestra un ejemplo de los correos de phishing que utiliza Janeleiro: una falsa notificación relacionada con una factura impaga. Contiene un enlace que lleva a un servidor comprometido. La página cargada simplemente redirige a la descarga de un archivo ZIP alojado en Azure. Algunos de los correos enviados por los atacantes no llevan adelante una redirección a través de un servidor comprometido, sino que conducen directamente al archivo ZIP.

La URL de los servidores que alojan estos archivos ZIP con Janeleiro presentan la misma convención que otras URL que hemos visto utilizar para distribuir otras familias de troyanos bancarios (consulte la sección Indicadores de Compromiso). En algunos casos, a través de estas URL se ha distribuido en diferentes momentos tanto a Janeleiro como a otros troyanos bancarios escritos en Delphi. Esto sugiere que los distintos grupos criminales comparten el mismo proveedor para enviar correos de spam y para alojar su malware, o que son el mismo grupo. Aún no hemos determinado qué hipótesis es la correcta.

En la Figura 2 se muestra una descripción general del proceso de ataque.

 

El archivo ZIP contiene un instalador MSI que carga la DLL principal del troyano. De hecho, son varias las familias de malware en la región que prefieren la técnica de utilizar un instalador MSI. Janeleiro recupera la dirección IP pública de la computadora afectada y usa un servicio web para intentar geolocalizarla. Si el valor del código de país devuelto no coincide con BR, el malware se cierra. Si la verificación de geolocalización es aprobada, Janeleiro recopila información de la máquina comprometida, lo cual incluye:

  • Fecha y hora actual
  • Nombre de la máquina y nombre de usuario
  • Arquitectura y nombre completo del SO
  • Versión de malware
  • Nombre de la región obtenida al geolocalizar la computadora

La información se carga en un sitio web con el propósito de rastrear los ataques exitosos. Después de eso, Janeleiro recupera las direcciones IP de los servidores de C&C de una página de organización de GitHub aparentemente creada por los criminales. A partir de ahí está listo para iniciar su núcleo de funcionalidades y esperar los comandos de un operador.

Artículo completo en fuente original WeLiveSecurity

El teléfono filtrado de Mark Zuckerberg revela que usa Signal

El CEO del gigante de las redes sociales Facebook, Mark Zuckerberg, tuvo su número personal descargado en línea como parte de la reciente filtración de datos que vio a casi 533 millones perder su información personal. Esto incluyó números de teléfono, detalles de ubicación y más.

Resulta que los datos personales de Zuckerberg también se filtraron, incluida su fecha de nacimiento, los detalles del matrimonio, la ubicación y, para el contexto de esta historia, su número de teléfono.

El número de teléfono de Zuckerberg también reveló el hecho de que usa Signal para sus comunicaciones. Si no lo sabes, Signal es un competidor directo de WhatsApp de Facebook y ha visto un aumento meteórico en su base de usuarios después de todo el fiasco de la privacidad.

Este es un mal aspecto para la empresa, especialmente después de que las personas cuestionan sus motivos y renuncian directamente a sus servicios.

Fuente: MoneyControl

8 abr. 2021

Falta de actualizaciones en SAP de misión crítica [Informe]

Según un informe emitido por Onapsis, delincuentes informáticos están apuntando a vulnerabilidades no parcheadas en las aplicaciones de SAP. El informe detalla más de 300 explotaciones exitosas de vulnerabilidades críticas previamente parcheadas por SAP a través de 1.500 intentos de ataque entre junio de 2020 y marzo de 2021.

También destacó que la ventana de tiempo para que los defensores actúen fue significativamente menor de lo que se pensaba anteriormente, "con ejemplos de vulnerabilidades de SAP que se han armado en menos de 72 horas después del lanzamiento de los parches y aplicaciones de SAP aprovisionadas en entornos de nube (IaaS) siendo descubiertas y comprometidas en menos de tres horas".

El informe señala que 18 de los 20 principales productores de vacunas del mundo ejecutan su producción en SAP, 19 de los 28 países de la OTAN ejecutan SAP y el 77% de los ingresos por transacciones del mundo toca un sistema SAP.

Onapsis dijo que esta era la primera vez que SAP emite un comunicado de prensa oficial sobre las amenazas cibernéticas que afectan a sus clientes. El comunicado dice que ambas compañías habían "trabajado en estrecha colaboración con el Departamento de Seguridad Nacional de EE.UU. (DHS), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Autoridad Federal de Seguridad Cibernética (BSI) de Alemania, aconsejando a las organizaciones que tomen medidas inmediatas para aplicar los parches disponibles de SAP, realizar configuraciones seguras, y realizar evaluaciones de compromiso en entornos críticos".

El informe no describe nuevas vulnerabilidades en el software SaaS de SAP o en la propia infraestructura de TI corporativa de SAP; señalan que muchas organizaciones aún no habían aplicado las mitigaciones relevantes que SAP ha proporcionado durante mucho tiempo.

El CEO y cofundador de Onapsis, Mariano Nunez, dijo que los hallazgos críticos señalados en el informe describen ataques a vulnerabilidades para las cuales los parches y las pautas de configuración segura habían estado disponibles durante meses o incluso años. "Desafortunadamente, demasiadas organizaciones todavía operan con una brecha de gobernanza importante en términos de seguridad cibernética y cumplimiento de sus aplicaciones de misión crítica, lo que permite a los actores de amenazas externos e internos acceder, exfiltrar y obtener el control total de su información más sensible y regulada y procesos".

El comunicado también aclara que ninguna de las vulnerabilidades estaba presente en las soluciones en la nube mantenidas por SAP. El DHS CISA también ha emitido una alerta sobre el potencial objetivo de las aplicaciones críticas de SAP.

Fuente. ComputerWeekly

500 millones de usuarios de LinkedIn filtrados y a la venta

No paramos con las filtraciones. Luego de la enorme filtración de datos de usuarios de Facebook, con 533 millones de registros ahora le toca a 500 millones de usuarios de LinkedIn.

La base de datos de la web para buscar trabajo ha sido descubierta por CyberNews y los datos recopilados están a la venta en Internet donde, además el delincuente ha ofrecido un registro de 2 millones de personas como prueba de la existencia de la base de datos real.

Entre los datos que aparecen en la filtración se encuentran:

  • LinkedIn IDs
  • Full names
  • Email addresses
  • Phone numbers
  • Genders
  • Links to LinkedIn profiles
  • Links to other social media profiles
  • Professional titles and other work-related data

Al ser una web con nuestro currículum online, todos los datos públicos que tengamos han podido acabar en esa base de datos. Probablemente los datos han sido recolectados mediante scrapping.

Al igual que sucedió con Facebook, los datos han sido puestos a la venta en RaidForums. En este caso, el dueño de los datos está pidiendo al menos cifras de 4 dígitos por los datos como mínimo a cambio de la base de datos completa.

Al igual que con la base de datos de Facebook, un atacante con todos estos datos puede llevar a cabo ataques de phishing contra nosotros al conocer nuestro nombre, correo y muchos más datos, dando un toque de realismo si se hace pasar por un banco u otra empresa con la que tengamos contratados servicios. También pueden llamarnos por teléfono con llamadas de spam y suplantando también la identidad de otras personas. Por último, pueden intentar adivinar, mediante fuerza bruta, nuestras contraseñas de LinkedIn.

Cuidado con llamadas de teléfono de spam o correos de phishing Por ello, lo recomendable en estos casos extremar la precaución con las llamadas o correos que recibamos. Por ejemplo, puede que recibamos correos de hackers haciéndose pasar por LinkedIn, donde sólo buscan que les proporcionemos la contraseña y otra información para poder acceder. Lo recomendable para cerciorarnos si se trata o no de un email real es entrar en la web oficial de LinkedIn y hacer nosotros manualmente los cambios sin pinchar en ningún enlace sospechoso.

Otra recomendación es no reutilizar nunca las contraseñas entre varios servicios, ya que con que consigan hackearla en una web, pueden reutilizarla en otra para tomar el control de las cuentas si no tenemos activada la verificación en dos pasos. Para ello, es recomendable usar gestores de contraseñas con contraseñas únicas para cada plataforma. A su vez, la verificación en dos pasos con aplicaciones como Google Authenticator es recomendable siempre que se pueda, ya que es mucho más segura que usar los SMS.

Los datos pueden ser consultados (bajo tu propia responsabilidad) aquí.

Fuente: ADSLZone

Gusano de Android se reproducía aprovechando WhatsApp y falsa promoción de Netflix

Se está propagando un nuevo malware de Android mediante WhatsApp y a través de Google Play (video). El mismo es "wormable" (gusano), es decir que tiene la capacidad de propagarse de forma independiente mediante la creación de respuestas automáticas en los mensajes de WhatsApp.

La investigación de Aviran Hazum, Bodgan Melnykov e Israel Wenik de Check Point Research (CPR) descubrió recientemente malware en Google Play oculto en una aplicación falsa que es capaz de propagarse a través de los mensajes de WhatsApp.

Si el usuario descarga la aplicación falsa y, sin saberlo, le otorga los permisos adecuados, el malware es capaz de responder automáticamente a los mensajes entrantes de WhatsApp de la víctima con un payload recibido de un servidor de comando y control (C&C). Este método único podría haber permitido a los actores de amenazas distribuir ataques de phishing, difundir información falsa o robar credenciales y datos de las cuentas de WhatsApp de los usuarios, entre otras actividades.

Los investigadores encontraron el malware oculto dentro de una aplicación en Google Play llamada "FlixOnline". La aplicación es un servicio falso que pretende permitir a los usuarios ver contenido de Netflix de todo el mundo en sus teléfonos móviles. Sin embargo, la aplicación está diseñada para monitorear las notificaciones de WhatsApp del usuario y para enviar respuestas automáticas a los mensajes entrantes del usuario utilizando el contenido que recibe de un servidor de comando y control remoto (C&C).

En esta campaña específica, los investigadores de Check Point descubrieron una nueva e innovadora amenaza maliciosa en la tienda de aplicaciones de Google Play que se propaga a través de las conversaciones de WhatsApp de los usuarios móviles y también puede enviar más contenido malicioso a través de respuestas automáticas a los mensajes entrantes.

Cuando la aplicación se descarga de Play Store y se instala, el malware inicia un servicio que solicita los permisos "Superposición", "Ignorar optimización de la batería" y "Notificación". El propósito de obtener estos permisos es:

  • La superposición permite que una aplicación maliciosa cree nuevas ventanas sobre otras aplicaciones. Por lo general, el malware lo solicita para crear una pantalla de "Inicio de sesión" falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
  • Ignorar las optimizaciones de la batería evita que el malware se apague mediante la rutina de optimización de la batería del dispositivo, incluso después de que esté inactivo durante un período prolongado.
  • El permiso más destacado es el acceso a notificaciones, más específicamente, el servicio de escucha de notificaciones. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo y la capacidad de realizar automáticamente acciones designadas como "descartar" y "responder" a los mensajes recibidos.

Check Point Research notificó a Google de manera responsable sobre la aplicación maliciosa y los detalles de su investigación, y Google eliminó rápidamente la aplicación de Play Store. En el transcurso de 2 meses, la aplicación "FlixOnline" se descargó aproximadamente 500 veces.

Este gusano de Android presenta nuevas técnicas innovadoras y peligrosas para propagarse y para manipular o robar datos de aplicaciones confiables como WhatsApp. Destaca que los usuarios deben tener cuidado con los enlaces de descarga o los archivos adjuntos que reciben a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parecen provenir de contactos o grupos de mensajería de confianza.

Si un usuario está infectado, debe eliminar la aplicación de su dispositivo y cambiar sus contraseñas.

Fuente: CheckPoint

7 abr. 2021

Roban U$S 480 mil a fábrica de aviones FAdeA mediante estafas BEC

La historia detrás del engaño informático que le hizo perder casi medio millón de dólares a la Fábrica Argentina de AvionesEn FAdeA creyeron estar encargando un sistema de frenado para el avión Pampa, pero en realidad era otra cosa.

"Todavía estamos consternados", dicen desde FAdeA, la Fábrica Argentina de Aviones Brigadier San Martín, la empresa estatal que se dedica a la producción y reparación de aeronaves y la investigación aeroespacial, y cuya planta está ubicada en la provincia de Córdoba, Argentina. Con una investigación judicial en curso, tratan de recuperar los 453 mil dólares que transfirieron por error a un estafador que usurpó los correos electrónicos de un proveedor habitual, y que fue quien les hizo girar el dinero destinado a los frenos del avión Pampa a una cuenta equivocada. En el fondo se esconde un problema aún mayor que podría estar asociado a la vulnerabilidad detectada en el servidor Exchange, de Microsoft, a nivel mundial.

FAdeA es quien produce el avión Pampa IA-63, una aeronave de entrenamiento avanzado con capacidades de combate, cuyo principal cliente es el Estado argentino. Pero no fabrica todas las piezas del avión, sino que depende -como una automotriz para sus autos, o un fabricante de celulares para sus smartphones- de varios proveedores. En este caso hicieron un pedido a la empresa estadounidense Advent Aircraft Systems, para comprar distintas partes del sistema de frenado del tren de aterrizaje del avión. Una orden de compra que se fue postergando con el tiempo al compás de los presupuestos acotados del país, pero que finalmente se concretó a fines del año pasado.

Fue a finales de 2020 cuando retomaron el correo electrónico que había quedado pendiente de enero. Ahora sí, era el momento de traer las partes. La respuesta fue clara, palabras más, palabras menos: "ya tenemos lo que ustedes necesitan, así que sería bueno que abonen directamente las dos primeras cuotas". Eso eran en total US$ 366.332,72 de la primera, y US$ 87.299,85, de la segunda. Desde FAdeA aceptaron. Y así siguieron el diálogo con Rod W., del área financiera de la empresa. Algo, sin embargo, había cambiado, aunque con mucho disimulo: la dirección de mail que les contestaba (@aircraftsystems.aero) no era igual a la de enero de 2020: ahora los mails llegaban del remitente @aircradtsystems-aero.com. Parecido, y difícil de detectar para alguien que no estuviera controlando ese cambio.

Un cambio de cuenta

No fue la única modificación: otra, menos imperceptible, apareció en la conversación entre FAdeA y su proveedor. Le explicaron a la empresa estatal argentina que habían cambiado la cuenta bancaria y que debían transferir a otra, misteriosamente también a nombre de Advent, pero en el banco Wells Fargo, diferente a la del Bank of America que figuraba en la conversación previa.

Sin embargo, nadie sospecharía nada. En principio, desde la gerencia de compras le pidieron a la empresa estadounidense que cambiaran algunas cuestiones que estaban mal en la nueva factura, como la descripción de los artículos o la fecha del nuevo despacho. Las respuestas eran inmediatas. Y así fue que tras varios días (y algunas desprolijidades de parte de quienes hablaban en nombre de Advent, que quisieron mudar nuevamente sus cuentas por "problemas fiscales"), FAdeA terminó transfiriendo 453.000 dólares en dos partes a una cuenta equivocada. Eso sucedió entre el 7 y el 21 de enero.

"Nosotros hablábamos con alguien que simulaban ser representante de la empresa, y mientras tanto ellos hablaban como falsos representantes nuestros. Cuando nosotros teníamos alguna duda, se ve que la consultaban en una conversación paralela. A nosotros nos apuraban con los pagos y a ellos los entretenían", señala alguien desde la Fábrica de Aviones, que luego de lo ocurrido inició una investigación interna para determinar qué fue lo que sucedió. “Incluso las facturas eran exactamente iguales a las que hacían ellos”, afirma.
Correos electrónicos comprometidos

Esta técnica de estafa se conoce como Business Email Compromised (BEC). Al igual que en este caso que afectó el patrimonio de la empresa estatal, divisas y confianza, hubieron otras empresas en el país que se vieron afectadas, incluso clubes de fútbol como Boca Juniors. En términos generales, la metodología es la misma: los delincuentes se apropian de las cuentas de correo electrónico ajenas y dialogan con sus clientes como si fueran parte de la empresa. Así, logran desviar fondos a cuentas bancarias que ellos controlan. Luego retiran el dinero y lo reintroducen en el sistema con maniobras de lavado de dinero. O, internamente en las empresas, alguien se hace pasar por el director o el gerente, y pide, bajo estricta reserva, que la secretaria o asistente transfiera dinero a un determinado lugar. De forma inmediata.

Según el FBI, es uno de los delitos en línea más perjudiciales desde el punto de vista financiero y que aprovecha sobre todo “el hecho de que muchos de nosotros dependemos del correo electrónico para realizar negocios, tanto personales como profesionales”. El año pasado, según el organismo, se perdieron más de 2000 millones de dólares en este tipo de delitos. Los especialistas recomiendan activar un segundo factor de comunicación: WhatsApp, WeChat, además del mail, para confirmar por ejemplo el cambio de cuentas.

Según el experto en seguridad informática Brian Krebs, el número de organizaciones afectadas serían cientos de miles; ya existe un parche que corrige esto (que tapa el agujero de seguridad), y según cálculos de Microsoft más del 90 por ciento de las empresas estarían seguras para evitar esas intromisiones. Krebs dijo en su momento que desde Redmond reconocieron que sabían de la vulnerabilidad desde principios de enero. La Casa Blanca también sumó su preocupación. Y organizaciones como la Autoridad Bancaria Europea (EBA), ya admitieron haber sido afectados.

Fuente: La Nación

Utilizan la infraestructura de GitHub para minar criptomonedas

GitHub está investigando una serie de ataques contra su infraestructura que habrían permitido a criminales usar sus servidores para minado de criptomonedas.

Estos ataques se llevan desarrollando desde finales de 2020, y se aprovechan de Github Actions, una característica que permite a los usuarios ejecutar flujos de trabajo (workflows) de forma automática en respuesta a un eventos generados en un repositorio.

El proceso comienza con la realización de un fork de un repositorio legítimo, y la creación un flujo de trabajo malicioso de Github Actions. Finalmente, se crea una Pull Request, que no es más que una solicitud al repositorio original de que acepte los cambios realizados, momento en el que se desencadena la acción.

No es necesario, sin embargo, que el responsable del repositorio legítimo apruebe el Pull Request. Aunque no es la norma, existen proyectos configurados para activar automáticamente los flujos de trabajo cada vez que se recibe uno. Estos son los principales objetivos de esta campaña.

Una vez se activa uno de estos flujo de trabajo, se procesan el código malicioso del atacante y se lanza una máquina virtual que descarga y ejecuta software de minado de criptomonedas, utilizando, en todo momento, la infraestructura de Github.

GitHub está al corriente de esta actividad y, a falta de una solución definitiva, está eliminando las cuentas de usuarios sospechosos.

Fuente: Hispasec

NIST anuncia finalistas de "Estandarización de criptografía ligera" para IoT

NIST ha completado la revisión de los candidatos de segunda ronda en el proceso de estandarización de criptografía liviana para dispositivos IoT, los cuales no pueden utilizar criptografía tradicional por la baja cantidad de recursos disponibles. Después de una cuidadosa consideración, los diez finalistas que avanzan a la ronda final son:

  • ASCON
  • Elephant
  • GIFT-COFB
  • Grain128-AEAD
  • ISAP
  • Photon-Beetle
  • Romulus
  • Sparkle
  • TinyJambu
  • Xoodyak
En las próximas semanas, NIST publicará una descripción detallada del proceso de decisión y la justificación de la selección. El informe estará disponible en la página del proyecto de criptografía ligera (LWC).

Se espera que la ronda final del proceso de estandarización dure aproximadamente 12 meses. NIST dará a los equipos de envío finalistas la oportunidad de proporcionar especificaciones e implementaciones actualizadas. 

El proceso completo y los candidatos se puede conocer aquí.

Fuente: NIST

6 abr. 2021

Multan a Booking con 558.000 dólares, por notificar tarde una infracción

El importante sitio de reservas de hoteles, ha sido multado de 475.000 euros, después de no informar de una grave violación de datos dentro del plazo establecido por el Reglamento General de Protección de Datos (GDPR).

Booking sufrió la filtración en 2018, cuando los estafadores telefónicos atacaron a 40 empleados de varios hoteles en los Emiratos Árabes Unidos (EAU).

Tras obtener sus credenciales de acceso a un sistema de Booking, pudieron acceder a los datos personales de más de 4.100 clientes que habían reservado una habitación de hotel en los EAU a través del sitio. También se expusieron los datos de las tarjetas de crédito de 283 clientes, y en 97 casos se comprometió el código de seguridad (CVV).

"Los clientes de Booking corrían el riesgo de ser robados aquí. Aunque los delincuentes no robaron los datos de la tarjeta de crédito, sino sólo el nombre, los datos de contacto y la información sobre su reserva de hotel, los estafadores utilizaron esos datos para hacer phishing", explicó Monique Verdier, vicepresidenta de la Autoridad Holandesa de Protección de Datos (AP).

Fingiendo pertenecer al hotel por teléfono o por correo electrónico, intentaban sacar dinero a la gente. Esto puede ser muy creíble si dicho estafador sabe exactamente cuándo has reservado qué habitación, y te pregunta si quieres pagar por esas noches. El daño puede ser entonces considerable.

Aunque la infracción no parece haber sido culpa de Booking, su respuesta ha sido insuficiente. El gigante de los viajes, con sede en los Países Bajos, fue notificado del incidente el 13 de enero de 2019, pero no lo comunicó a AP hasta el 7 de febrero, 22 días después. El GDPR ordena normas estrictas para informar dentro de las 72 horas.

Fuente: CiberseguridadLatam