AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Filtración interna en CrowdStrike: capturas de sistemas internos expuestas por Scattered Lapsus$ Hunters

admin

Introducción

En un incidente que pone de relieve los riesgos persistentes del insider threat, CrowdStrike, una de las firmas líderes en ciberseguridad a nivel global, ha confirmado la filtración no autorizada de capturas de pantalla de sus sistemas internos. Las imágenes, que comenzaron a circular en canales de Telegram utilizados por el grupo de actores de amenazas conocido como Scattered Lapsus$ Hunters, fueron efectivamente extraídas y compartidas por un empleado de la compañía. Este suceso subraya la importancia de contar con controles robustos de acceso y monitorización de actividades dentro de las organizaciones, incluso en aquellas cuya misión principal es proteger a otras empresas frente a ciberataques.

Contexto del Incidente

La filtración se produjo cuando, el pasado 3 de junio de 2024, usuarios de Telegram asociados a Scattered Lapsus$ Hunters publicaron una serie de capturas de pantalla que mostraban información sensible perteneciente a los sistemas internos de CrowdStrike. El grupo, vinculado a campañas previas de extorsión y exfiltración de datos, alegó haber obtenido acceso privilegiado a la infraestructura de la compañía, sembrando dudas sobre la integridad de sus operaciones de seguridad.

Sin embargo, tras una investigación interna, CrowdStrike confirmó que no se trató de un compromiso externo o explotación de una vulnerabilidad técnica, sino de una filtración provocada por un empleado que, intencionadamente o no, compartió material confidencial con terceros no autorizados. El incidente ha reavivado el debate sobre la amenaza interna y los desafíos que representa, incluso para organizaciones con el más alto grado de madurez en ciberseguridad.

Detalles Técnicos

Aunque el incidente no está vinculado a una vulnerabilidad específica (por ejemplo, no se ha identificado un CVE asociado), sí pone de manifiesto vectores de ataque relacionados con la ingeniería social y la explotación de permisos internos. Los TTPs (Tácticas, Técnicas y Procedimientos), en línea con el marco MITRE ATT&CK, se corresponden principalmente con las siguientes categorías:

– **TA0006 (Credential Access)**: El acceso a sistemas internos por parte del insider.
– **TA0009 (Collection)**: Recopilación de capturas de pantalla de interfaces y aplicaciones internas.
– **TA0010 (Exfiltration)**: Transferencia de información sensible a plataformas externas (Telegram).

Los Indicadores de Compromiso (IoC) en este caso no son hashes de malware o direcciones IP, sino artefactos digitales como logs de acceso, exportaciones de pantalla y registros de actividad en endpoints corporativos.

La filtración destacó pantallas de herramientas internas de gestión, consolas administrativas y posiblemente fragmentos de información sobre clientes o investigaciones en curso. Si bien CrowdStrike afirma que no hay evidencia de acceso no autorizado a datos de clientes ni de un compromiso más profundo de la red, la exposición de estos activos puede facilitar futuras campañas de spear-phishing o ingeniería social dirigidas.

Impacto y Riesgos

El principal riesgo de este incidente reside en la pérdida de confianza y la exposición de metodologías internas, lo que puede otorgar una ventaja táctica a actores de amenazas que busquen evadir las capacidades de detección y respuesta de CrowdStrike. Además, si las capturas incluyeran información sobre investigaciones activas, arquitectura de red o datos de clientes, podría producirse una escalada de ataques dirigidos.

Según estimaciones del sector, el insider threat representa hasta el 34% de los incidentes de seguridad en grandes organizaciones (IBM Cost of a Data Breach Report, 2023). El coste promedio de una filtración interna supera los 4,5 millones de dólares, sin considerar el impacto reputacional y la exposición a sanciones regulatorias bajo normativas como GDPR y NIS2.

Medidas de Mitigación y Recomendaciones

CrowdStrike ha comunicado la revocación inmediata de privilegios al empleado implicado y la activación de controles de monitorización reforzada sobre actividades anómalas en endpoints corporativos. Entre las recomendaciones clave para mitigar riesgos similares en otras organizaciones destacan:

– Implementación de DLP (Data Loss Prevention) para monitorizar y bloquear la exfiltración no autorizada de datos.
– Refuerzo de políticas de Zero Trust y limitación estricta de privilegios por función.
– Auditoría continua de logs de acceso y actividad en sistemas críticos.
– Formación específica sobre amenazas internas y concienciación en todos los niveles de la organización.
– Automatización de alertas ante patrones sospechosos de recopilación y transferencia de información.

Opinión de Expertos

Varios analistas del sector han recalcado que ningún entorno es completamente inmune a la amenaza interna, independientemente de las herramientas tecnológicas desplegadas. “El factor humano sigue siendo el eslabón más débil, especialmente cuando se combina acceso privilegiado con motivaciones personales o negligencia”, afirma Ana Martínez, CISO de una consultora europea. Otros expertos sugieren la adopción de soluciones de UEBA (User and Entity Behavior Analytics) para detectar desviaciones sutiles en los patrones de comportamiento de los empleados.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente es un recordatorio urgente de la necesidad de revisar y actualizar los controles internos, no solo para protegerse de actores externos, sino también de empleados con acceso legítimo. La legislación europea, como el GDPR y la inminente NIS2, obliga a las organizaciones a demostrar medidas proactivas para salvaguardar datos sensibles y notificar incidentes de seguridad en plazos estrictos.

Para los usuarios y clientes de servicios de ciberseguridad, la transparencia y la respuesta rápida ante incidentes son factores clave para mantener la confianza en los proveedores, así como exigir garantías y auditorías periódicas de los controles internos.

Conclusiones

La filtración interna sufrida por CrowdStrike, aunque limitada en alcance técnico, resalta la amenaza constante que representan los insiders en cualquier organización. La combinación de controles tecnológicos avanzados, políticas de acceso restrictivas y monitorización inteligente sigue siendo esencial para reducir el impacto de estos incidentes. El caso refuerza la necesidad de una cultura corporativa orientada a la seguridad, donde la confianza se combine con la verificación continua.

(Fuente: www.bleepingcomputer.com)