Las violaciones de datos de terceros se han vuelto cada vez más comunes, lo que pone de relieve el papel vital de los programas de ciberseguridad que abarcan la gestión de riesgos cibernéticos de terceros, como comerciantes, proveedores y subsidiarias. Los orígenes de estas violaciones se remontan a los primeros días de Internet, cuando el aumento de las transacciones en línea impulsó a las empresas a acumular una gran cantidad de datos de clientes, incluidos nombres, direcciones y detalles de pago.
En el panorama actual, las empresas dependen en gran medida de proveedores externos para diversos servicios como procesamiento de pagos, infraestructura en la nube, integraciones de API, soporte al cliente y marketing. Estos proveedores tienen un mayor acceso a datos confidenciales de los clientes, lo que los convierte en objetivos principales para los ciberdelincuentes, objetivos que son golpeados con fuerza.
El Instituto Ponemon señala que el 54% de las empresas experimentaron violaciones de datos resultantes de sus terceros, mientras que el 61% de las empresas no tienen un inventario completo de sus terceros.
En los últimos años, se han producido notables violaciones de datos, que abarcan entidades como SolarWinds y Marriott. Estas violaciones expusieron datos críticos como detalles de tarjetas de crédito, números de seguro social e identificaciones personales, alimentando el robo de identidad, la manipulación financiera y la malversación cibernética.
Desde finales de 2022 hasta mediados de 2023, han surgido numerosas violaciones de datos de terceros adicionales, que ponen en peligro los datos personales de innumerables personas y resultan en costos incalculables y daños a la reputación.
A continuación, se presentan los aspectos más destacados de algunas de las últimas violaciones de datos de terceros más importantes.
Agosto
Discord, una plataforma social de mensajería instantánea y VoIP, sufrió una violación de datos de terceros por parte de Discord.io, un servicio que permite a los propietarios de servidores crear invitaciones personalizadas a sus canales.
La filtración expuso la información de 760.000 miembros. La información filtrada incluye el nombre de usuario de un miembro, la dirección de correo electrónico, la dirección de facturación (un pequeño número de personas), la contraseña con sal y hash (un pequeño número de personas) y el ID de Discord.
Discord.io confirmó la violación de datos y cerró sus servicios en respuesta.
Junio
-Taiwan Semiconductor Manufacturing Company (TSMC), el mayor fabricante de chips por contrato del mundo y uno de los mayores proveedores de Apple, reconoció una violación relacionada con su proveedor Kinmax. El grupo de ransomware LockBit exige un rescate de 70 millones de dólares por no divulgar los datos robados. Esta es conocida como una de las mayores demandas de ransomware de la historia.
--Se confirmaron intrusiones que afectaron a varias organizaciones, incluidas agencias del gobierno de EE. UU., explotando una vulnerabilidad en la herramienta MOVEit Transfer de Progress Software. La banda de ransomware CLP explota esto para obtener ganancias, afectando a terceros en medio de la evaluación continua de la escala del ataque.
--El gobierno suizo confirmó que un proveedor de software, Xplain, fue infectado por malware. Los ciberdelincuentes publicaron algunos de los datos en la dark web. El conjunto de datos contiene más de 425.000 direcciones.
Mayo-Abril
– La mayor empresa de gafas del mundo, Luxottica, confirmó la filtración de información personal de 70 millones de clientes tras una violación de datos ocurrida en 2021. La empresa es propietaria de marcas como Ray-Ban, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors y Oakley, entre otras.
La empresa confirmó que los datos filtrados resultaron de un incidente de seguridad que afectó a un contratista externo que poseía datos de clientes.
Marzo
--AT&T reveló una violación que afectó a aproximadamente 9 millones de cuentas inalámbricas. Una persona no autorizada violó el sistema de un proveedor externo que brindaba servicios de marketing. Si bien se accedió a datos como nombres, direcciones de correo electrónico, números de teléfono, líneas de cuenta y planes inalámbricos, no se tomaron SSN, contraseñas ni datos financieros.
LinkedIn reveló una violación que afectó a 700 millones de usuarios. Explotando una vulnerabilidad de una biblioteca de software de terceros, los hackers accedieron a datos como nombres y correos electrónicos. LinkedIn instó a actualizar contraseñas y tomó medidas de seguridad adicionales.
Enero (23)-Diciembre(22)
T-Mobile sufrió una violación que afectó a 40 millones de clientes. Los hackers entraron a través de un proveedor externo, robando datos que incluían nombres, números de teléfono, direcciones, SSN y licencias. T-Mobile ofreció monitoreo de crédito gratuito y mejoró la seguridad.
Uber confirmó una violación en diciembre de 2022. Los actores de amenazas accedieron a correos electrónicos de empleados, activos de TI y datos corporativos. A través del proveedor Teqtivity, llevaron a cabo ataques de phishing. La información filtrada podría alimentar campañas dirigidas.
Estas violaciones resaltan los peligros ligados a los proveedores externos, subrayando la necesidad de medidas de ciberseguridad sólidas.
Conclusión
Para mitigar los riesgos de violaciones de datos de terceros, las empresas deben ir más allá de revisar SOC2 y distribuir cuestionarios. A pesar de los sólidos procesos de revisión de proveedores, algunas empresas aún han sido víctimas. Esto se extiende a la investigación de políticas de seguridad, acuerdos y límites de acceso. Está surgiendo una tendencia: evaluaciones externas periódicas de riesgos de vulnerabilidad. Esto proporciona la misma visión de riesgo cibernético que los atacantes y fomenta discusiones proactivas sobre riesgos.
Onlayer se enfoca en la seguridad de la cadena de suministro para empresas en una variedad de sectores, desde instituciones financieras hasta energía y seguros, evaluando y gestionando periódicamente los riesgos de los proveedores, comerciantes, subsidiarias y otros terceros de las organizaciones principales. Al detectar, priorizar y remediar estos riesgos, Onlayer minimiza los riesgos de violaciones de datos y previene daños financieros y de reputación.
Contáctenos y solicite una demostración para explorar cómo podemos mitigar y remediar sus riesgos de terceros.
