Twilio anuncia una serie de nuevas brechas de seguridad

December 05, 2024 | 5 minutes read
Twilio anuncia una serie de nuevas brechas de seguridad

El 8 de agosto de 2022, la empresa de comunicaciones Twilio, con sede en San Francisco, anunció que había sufrido una filtración de datos. Como se indica en el sitio web de la empresa, “Twilio es una plataforma única con API flexibles para cualquier canal, inteligencia incorporada e infraestructura global para apoyarle a escala, y se puede utilizar para crear la solución exacta que necesita para involucrar a los clientes en cada paso de su viaje.” Como referencia, algunas de las empresas que utilizan los numerosos productos de Twilio son el popular servicio de transporte compartido Lyft, la empresa de alquiler vacacional Airbnb y el servicio de streaming global Netflix, entre otros muchos. Asimismo, Twilio confirmó que se había accedido ilegalmente a la información personal de hasta 125 clientes como resultado de la brecha. Estos datos violados incluían detalles de pago, direcciones IP y postales, e incluso pruebas de identidad.

Además, Twilio sufrió una segunda brecha de seguridad varias semanas después, el 24 de agosto de 2022, en la que se vio comprometida la aplicación de autenticación de dos factores Authy de la empresa. Según informa el periódico tecnológico TechCrunch, “los investigadores han vinculado esta semana el ataque a Twilio y a otras empresas con una campaña de phishing más amplia llevada a cabo por un grupo de piratas informáticos apodado “0ktapus”, que ha robado cerca de 10.000 credenciales de empleados de al menos 130 organizaciones desde marzo”. El artículo continúa diciendo que el grupo de hackers en cuestión fue capaz de robar la información personal de 93 usuarios de Authy, lo que permitió a los hackers generar credenciales de inicio de sesión para cualquier cuenta a la que estos usuarios tuvieran acceso.

Autenticación de dos factores

Aunque las violaciones de datos en plena era digital se han convertido en una realidad casi inevitable, muchos consumidores confían en los servicios de autenticación de doble factor para protegerse de tales sucesos. En este sentido, mientras que la autenticación de doble factor se consideraba antes como un fuerte elemento disuasorio para cualquier grupo de piratas informáticos o actores maliciosos que buscaran robar la información personal de un determinado usuario en línea, los ciberdelincuentes están encontrando cada vez más nuevas formas de lanzar ataques contra individuos desprevenidos. Además, como ha demostrado el reciente pirateo de Authy, muchos de estos ciberdelincuentes no operan a pequeña escala, sino que atacan a una amplia variedad de empresas y organizaciones cuando buscan robar los datos personales de los consumidores.

0ktapus

En este último punto, el grupo de hackers 0ktapus ha sido vinculado a cientos de otros ataques similares contra empresas y organizaciones que operan en todo el mundo. Es más, este grupo de piratas informáticos se ha centrado en robar las credenciales de inicio de sesión de los empleados que trabajan en una empresa u organización en particular, a diferencia de otros ciberdelincuentes que trabajan para piratear bases de datos o aprovechar las vulnerabilidades que pueden estar presentes en el sitio web o el entorno informático de una organización, además de muchas otras actividades nefastas. Por otra parte, el grupo de piratas informáticos también se ha centrado en los sistemas operativos móviles y los dispositivos de telecomunicaciones, ya que este tipo de cuentas obviamente proporcionarán a estos delincuentes diversos niveles de información personal relativa a los consumidores.

Ingeniería social

A pesar de que las acciones de grupos de piratas informáticos como 0ktapus pueden parecer descaradas e imprudentes para quienes no están familiarizados con el mundo de la piratería y la ciberdelincuencia, los métodos y técnicas que utilizaron estos individuos para huir con datos personales eran ejemplos de ataques de ingeniería social. Según el Diccionario Oxford, la ingeniería social se define como “el uso del engaño para manipular a los individuos para que divulguen información confidencial o personal que puede ser utilizada con fines fraudulentos”. Siendo este el caso, la práctica de la ingeniería social se basa en la manipulación de la confianza y las emociones, a diferencia de las tácticas de fuerza bruta que son utilizadas por otros malos actores en el ámbito de la ciberdelincuencia. Como resultado, empleados como los que trabajan para empresas como Twilio pueden seguir siendo objeto de este tipo de ataques, a pesar de que los servicios que prestan al público en general están diseñados para frustrar los intentos de ingeniería social.

Dado que en 2021 se produjo el mayor número de ciberataques de la historia, es probable que las violaciones de datos que empresas como Twilio han sufrido en las últimas semanas sigan produciéndose, ya que los ciberdelincuentes continúan desarrollando nuevas formas de saquear los datos de los consumidores. Por esta razón, tanto los consumidores como las empresas deben buscar nuevos métodos para asegurar sus datos personales, ya sea en forma de técnicas de protección de datos como la redacción o el cifrado, o métodos alternativos, ya que los días en los que simplemente se utilizaba un gestor de contraseñas o un sistema de autenticación de dos factores para garantizar que la información personal permanecía confidencial en todo momento probablemente hayan terminado.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »