AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Robo de datos en la Universidad de Sídney tras la intrusión en su repositorio de código**

admin

### Introducción

En un nuevo incidente que subraya la creciente sofisticación de las amenazas dirigidas al sector educativo, la Universidad de Sídney ha confirmado el acceso no autorizado a uno de sus repositorios de código en línea. El ataque se saldó con la exfiltración de archivos que contenían información personal de miembros del personal y estudiantes, lo que ha desencadenado una investigación interna y la notificación a los afectados. Este suceso pone de manifiesto la importancia de las medidas de seguridad en la gestión de repositorios de código y la protección de datos en entornos universitarios.

### Contexto del Incidente

El incidente tuvo lugar cuando actores maliciosos lograron acceder a un repositorio de código utilizado internamente por la Universidad de Sídney para el desarrollo y despliegue de aplicaciones académicas y administrativas. Según fuentes internas, dicho repositorio estaba alojado en una plataforma SaaS de gestión de código ampliamente utilizada por instituciones educativas y empresas tecnológicas, aunque la Universidad no ha detallado si se trataba de GitHub, GitLab o Bitbucket.

El acceso no autorizado fue detectado tras una revisión rutinaria de logs de acceso, motivada por alertas generadas por un sistema de detección de anomalías implementado en la infraestructura de la universidad. Posteriormente, se confirmó que los atacantes habían obtenido archivos que almacenaban datos personales, incluyendo nombres completos, direcciones de correo electrónico institucional y, en algunos casos, identificadores internos de estudiantes y personal.

### Detalles Técnicos

**CVE y vectores de ataque:**
Aunque la Universidad de Sídney no ha revelado el vector de compromiso específico, expertos en seguridad sugieren que el ataque podría estar relacionado con vulnerabilidades conocidas en sistemas de autenticación de plataformas de gestión de código, como CVE-2022-23714 (relacionado con la autenticación OAuth en GitHub) o mediante el aprovechamiento de credenciales expuestas y tokens de acceso. Cabe recordar que, en 2023, se reportó un incremento del 60% en incidentes vinculados a la filtración de tokens de acceso en repositorios públicos.

**TTP MITRE ATT&CK:**
De acuerdo con el marco MITRE ATT&CK, el incidente se alinea con las técnicas T1078 (Valid Accounts) y T1552 (Unsecured Credentials), así como con T1087 (Account Discovery) y T1005 (Data from Local System). La exfiltración se habría producido mediante scripts automatizados que detectaron y descargaron archivos sensibles, posiblemente aprovechando la ausencia de controles de acceso granulares (T1071 – Application Layer Protocol).

**Indicadores de Compromiso (IoC):**
– Acceso anómalo desde direcciones IP externas no asociadas a la universidad.
– Descarga masiva de archivos en intervalos cortos.
– Modificación de metadatos de acceso a ramas específicas del repositorio.
– Presencia de scripts orientados a la búsqueda de archivos con patrones como “*.csv”, “*credentials*” o “*user_data*”.

**Herramientas y frameworks empleados:**
Aunque no se ha confirmado el uso de herramientas específicas, incidentes similares han involucrado la utilización de Metasploit para la explotación inicial y Cobalt Strike para el movimiento lateral y la persistencia en entornos híbridos. En este caso, la rapidez del ataque sugiere una fase de reconocimiento automatizada previa.

### Impacto y Riesgos

La información sustraída afecta potencialmente a varios miles de cuentas de estudiantes y personal. Aunque la Universidad no ha publicado cifras exactas, estimaciones internas señalan que podría tratarse de entre 5.000 y 10.000 registros individuales. La mayor preocupación reside en el riesgo de ingeniería social, spear phishing y fraudes dirigidos, además de posibles implicaciones legales bajo normativas como la GDPR (en el caso de estudiantes europeos) y regulaciones australianas de protección de datos.

El incidente podría derivar en:
– Compromiso de cuentas institucionales por ataques de phishing dirigidos.
– Suplantación de identidad y acceso a sistemas internos mediante credenciales reutilizadas.
– Impacto reputacional para la Universidad y pérdida de confianza de la comunidad académica.

### Medidas de Mitigación y Recomendaciones

La Universidad ha procedido a revocar todos los tokens de acceso comprometidos y ha forzado el restablecimiento de contraseñas para las cuentas afectadas. Entre las acciones recomendadas para instituciones similares destacan:
– Implementar autenticación multifactor (MFA) obligatoria en todos los repositorios de código.
– Revisar y restringir los permisos de acceso a información sensible siguiendo el principio de mínimo privilegio.
– Auditar periódicamente los repositorios en busca de información sensible inadvertidamente almacenada (ej. credenciales, datos personales en archivos de configuración).
– Monitorizar accesos y descargas masivas mediante SIEMs y sistemas de alerta temprana.
– Formar al personal técnico y usuarios finales sobre buenas prácticas en la gestión de repositorios y el manejo de información sensible.

### Opinión de Expertos

Analistas de ciberseguridad consultados coinciden en que los repositorios de código se han convertido en un vector de ataque prioritario para los actores de amenazas, dado el valor de la información almacenada y las posibles puertas traseras que pueden introducirse en el software institucional. “La tendencia al desarrollo colaborativo incrementa la superficie de ataque si no se aplican controles de seguridad robustos”, señala un responsable de ciberinteligencia de una consultora internacional.

### Implicaciones para Empresas y Usuarios

El incidente en la Universidad de Sídney es extrapolable a cualquier organización que utilice repositorios de código para proyectos críticos. Además del cumplimiento normativo (GDPR, NIS2), las empresas deben considerar los riesgos asociados a la fuga de datos a través de estos entornos, incorporando revisiones de seguridad en el ciclo DevSecOps y políticas de cifrado de datos en repositorios.

Para los usuarios, la recomendación es fortalecer la seguridad de sus credenciales institucionales y estar atentos a posibles campañas de phishing derivadas de la exposición de sus datos.

### Conclusiones

El acceso no autorizado al repositorio de código de la Universidad de Sídney y la filtración de datos personales evidencian la necesidad de reforzar la seguridad en los entornos de desarrollo colaborativo. La protección de la información sensible y la implementación de controles de acceso avanzados deben ser prioridades ineludibles para cualquier organización, especialmente en el sector educativo, donde el volumen y la diversidad de datos gestionados es especialmente elevado.

(Fuente: www.bleepingcomputer.com)