Anthem Breach – Anthem avisa a sus clientes del peligro que corren

0

Si guardasemos en una carpeta especial todos los informes de compañías que acaban perdiendo nuestros datos a causa de brechas en la seguridad, necesitaríamos algo más de una carpeta.  El sector de la medicina y Salud está cada vez más castigado por los ciber-ataques.

anthem breach

Anthem Breach en detalle

Desde los casos de HomeDepot, JP Morgan (varios casos) y otras compañías de Seguros y Salud llegamos a Anthem, la aseguradora de Salud más grande de los EEUU. De alguna forma, la empresa Anthem ha facilitado por problemas técnicos el acceso a los registros de más de 80 millones de americanos. Las víctimas son clientes actuales y pasados de los planes de seguros de salud de la compañía. Incluso algunos datos pertenecerían a clientes de otras compañías, debido al intercambio de registros de pacientes que en ciertas ocasiones se dan entre ellas.

¿Y qué hace la compañía Anthem?

Pues lanzar un comunicado clásico en estos casos, escondiendo la cabeza como las avestruces:

El 29 de Enero de 2015, Anthem Inc. (Anthem) descubrió que los ciber-atacantes ejecutaron un sofisticado ataque para obtener acceso no autorizado al sistema de TI de Anthem y obtener información personal…

La clave: sofisticado

La palabra clave aquí es eso de “sofisticado”. El mensaje que se transmite es que los hackers eran tan buenos y poderosos que nadíe -por supuesto Anthem tampoco- podría haberse defendido mejor. ¿Os suena esto? Porque es la excusa de moda en los casos de brechas de seguridad en muchas grandes firmas, de entre las que tenemos reciente el caso de Sony.

Llamar a un incidente de seguridad una “brecha sofisticada en el sistema” sin aportar más datos o explicaciones es la forma en que las compañías se defienden hoy en día de su negligencia o falta de atención por la seguridad.

¿El caso de Anthem? No

Normalmente acaba por verse que las brechas no son tan sofisticadas, sino que los hackers han aprovechado las aberturas que los albañiles han dejado en la muralla (si se me permite esta comparación tosca) en forma de vulnerabilidades no resueltas. Este parece ser el caso de Anthem.

hacker

Anthem cree que esta actividad sospechosa podría haber ocurrido en un lapso de varias semanas a comienzos del mes de Diciembre de 2014.

Algunos informes señalan que el ataque podría haber comenzado mucho antes, pero que esos primeros intentos fueron detectados y desbaratados. No sabemos si después se produjo una ausencia de monitorización en la empresa, pero les llevó unas 6 semanas darse cuenta de que sus sistemas habían sido comprometidos.

Parece que los hackers tuvieron persistencia en los sistemas. Lo que se ha comprobado es que consiguieron el acceso a los datos de Anthem mediante el robo de credenciales de red de hasta 5 empleados diferentes, todos con alto nivel de acceso a la infraestructura informática.

El Phishing es la llave a las empresas

Ni bots automatizados, ni ataques DoS coordinados ni otros métodos: la clave ha sido una vez más el Phishing. Se trata de una técnica de fraude que consiste en engañar al usuario mostrándole un contenido familiar y aparentemente auténtico, consiguiendo que acceda a un enlace o desencadene la descarga de un ejecutable malicioso en el equipo de la víctima.

Así es como los empleados de Anthem acabaron facilitando sus ID de red y contraseña al “enemigo”, o bien permitiendo la descarga de un troyano que comprometió su usuario a largo plazo.

El es labón más débil de la cadena debilita al resto

Siempre lo decimos: el eslabón más débil de la cadena de seguridad informática es el usuario. Por la sencilla razón de que es rebelde, en ocasiones olvida las políticas o incluso cree que le conviene saltarlas. Cuando un usuario ha violado una política importante de seguridad, no importará los numerosos controles de red o sistemas de prevención de intrusiones que dispongamos. Normalmente el daño ya será imposible de erradicar.

Información filtradaregistro medico

Citando la información relacionada por la compañía, se habrían perdido datos como:

  • Nombres
  • Fecha de nacimiento
  • Números de la Seguridad Social
  • Direcciones de email
  • Información laboral y de ganancias económicas.

Las tarjetas de crédito y otros sistemas de pago no han sido confirmadas, pero no se descarta.

Conclusiones

Cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar“. En España hemos constatado importantes carencias en cuanto a la seguridad de la información en sistemas de salud privados y públicos (sobre todo estos últimos). Debemos estandarizar y mejorar rápidamente el estado de custodia de estos registros médicos para no tener que lamentar casos tan importante como el Anthem Breach.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR