AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Robo de datos en Ericsson Inc.: Ataque a proveedor de servicios expone información de empleados y clientes

admin

Introducción

Ericsson Inc., la filial estadounidense de la multinacional sueca de telecomunicaciones Ericsson, ha confirmado recientemente una brecha de seguridad que ha resultado en el robo de datos pertenecientes tanto a empleados como a clientes. El incidente, originado por el compromiso de uno de sus proveedores de servicios, pone de manifiesto la creciente amenaza que suponen los ataques dirigidos a la cadena de suministro y subraya la necesidad de reforzar los controles de seguridad más allá del perímetro corporativo.

Contexto del Incidente

El ataque salió a la luz después de que la propia Ericsson Inc. notificara a las autoridades y a los afectados el acceso no autorizado a información sensible. Aunque la compañía no ha revelado el número exacto de empleados y clientes afectados, ha confirmado que la filtración se produjo a través de uno de sus proveedores de servicios externos, cuyo nombre no ha trascendido por motivos de confidencialidad y en cumplimiento de las investigaciones en curso.

Este caso forma parte de una tendencia al alza en la que las grandes organizaciones se convierten en víctimas indirectas de ataques dirigidos a terceros con quienes mantienen relaciones contractuales. El vector de ataque aprovecha la confianza depositada en proveedores, integradores o empresas de servicios gestionados (MSP), que a menudo poseen acceso privilegiado a infraestructuras críticas.

Detalles Técnicos

Aunque Ericsson Inc. no ha facilitado detalles exhaustivos sobre el vector de ataque empleado, fuentes próximas a la investigación sugieren la posible explotación de una vulnerabilidad conocida en software de gestión de proveedores o bien técnicas de spear phishing dirigidas a empleados del proveedor comprometido.

Entre las tácticas, técnicas y procedimientos (TTP) identificados, se barajan escenarios compatibles con el marco MITRE ATT&CK, como:

– Initial Access: Spearphishing Link (T1566.002) o Exploit Public-Facing Application (T1190)
– Lateral Movement: Valid Accounts (T1078)
– Exfiltration: Exfiltration Over Web Service (T1567.002)

No se ha confirmado públicamente la asignación de un CVE específico, aunque recientes campañas han explotado vulnerabilidades como CVE-2023-34362 (MOVEit Transfer), CVE-2023-0669 (GoAnywhere MFT) y otros fallos críticos en plataformas ampliamente usadas por proveedores de servicios.

Indicadores de Compromiso (IoC) manejados incluyen direcciones IP sospechosas, hashes de archivos maliciosos y patrones de tráfico anómalos, compartidos en colaboración con ISACs y organismos reguladores. No se descarta el uso de herramientas como Cobalt Strike o Metasploit para el movimiento lateral y la exfiltración de datos.

Impacto y Riesgos

El impacto del incidente puede ser significativo, tanto desde el punto de vista reputacional como operativo y legal. Los datos comprometidos incluyen información personal identificable (PII) de empleados, credenciales de acceso y datos sensibles de clientes, lo que incrementa el riesgo de ataques de ingeniería social, suplantación de identidad y fraudes dirigidos.

Según estimaciones del sector, los ataques a la cadena de suministro representaron en 2023 el 17% de las brechas de datos reportadas en Estados Unidos, con pérdidas económicas medias superiores a los 4,45 millones de dólares por incidente, según el informe de IBM Security.

A nivel normativo, el incidente obliga a Ericsson Inc. a cumplir con los requerimientos de notificación establecidos en la GDPR (artículos 33 y 34) y la normativa NIS2, especialmente en lo relativo a la protección de datos personales y la resiliencia de la infraestructura esencial.

Medidas de Mitigación y Recomendaciones

Tras la detección del incidente, Ericsson Inc. ha activado su protocolo de respuesta a incidentes, que incluye:

– Revocación inmediata de accesos y credenciales asociadas al proveedor afectado.
– Revisión exhaustiva de logs y monitorización reforzada de los sistemas comprometidos.
– Notificación a las autoridades regulatorias y coordinación con el CERT de Estados Unidos.
– Evaluación de la postura de seguridad de todos los proveedores críticos, incluyendo auditorías adicionales y aplicación estricta de políticas de Zero Trust.

Se recomienda a las organizaciones del sector:

– Implementar controles de acceso basados en privilegios mínimos para proveedores.
– Exigir el uso de autenticación multifactor (MFA) y segmentación de redes para accesos de terceros.
– Realizar auditorías periódicas de ciberseguridad a la cadena de suministro.
– Mantener actualizados los sistemas y aplicar parches críticos con la máxima celeridad.

Opinión de Expertos

Especialistas en ciberseguridad consultados coinciden en señalar que el eslabón más débil de la cadena de suministro sigue siendo un vector preferente para los atacantes. “La confianza ciega en proveedores externos es un riesgo crítico; las organizaciones deben asumir que cualquier acceso externo puede ser potencialmente vulnerable”, afirma Javier García, CISO en una multinacional tecnológica.

Por su parte, expertos del SANS Institute recuerdan que “la ciberresiliencia de una compañía es tan fuerte como el control ejercido sobre sus relaciones con terceros”.

Implicaciones para Empresas y Usuarios

El incidente de Ericsson Inc. es un recordatorio de la importancia de revisar y fortalecer los controles de acceso y la gestión de riesgos de la cadena de suministro. Las empresas deben considerar la ciberseguridad de terceros como parte integral de su estrategia global, no solo por cumplimiento normativo, sino para preservar la confianza de clientes y empleados.

Los usuarios y empleados afectados pueden verse expuestos a intentos de phishing y otros fraudes, por lo que resulta fundamental permanecer alerta ante comunicaciones sospechosas y cambiar contraseñas comprometidas.

Conclusiones

El ataque sufrido por Ericsson Inc. evidencia la sofisticación y el alcance de las amenazas actuales dirigidas a infraestructuras críticas a través de proveedores de servicios. La gestión proactiva de la seguridad en la cadena de suministro, la monitorización continua y la colaboración con organismos reguladores y sectoriales son elementos clave para mitigar estos riesgos y responder de forma eficaz ante incidentes similares.

(Fuente: www.bleepingcomputer.com)