AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Brecha de datos en Marquis Software Solutions compromete a docenas de bancos y cooperativas de crédito en EE. UU.**

admin

### Introducción

El proveedor estadounidense de soluciones financieras Marquis Software Solutions ha confirmado una brecha de seguridad que ha afectado a una multitud de instituciones financieras, incluyendo docenas de bancos y cooperativas de crédito en todo Estados Unidos. Este incidente pone de relieve la creciente exposición de los proveedores de tecnología financiera (fintech) como vectores de ataque para comprometer la información confidencial de entidades bancarias y sus clientes, elevando la preocupación entre los equipos de ciberseguridad de estas organizaciones.

### Contexto del Incidente

Marquis Software Solutions es conocido por suministrar plataformas de análisis de datos, marketing y cumplimiento regulatorio a instituciones financieras. El 2 de junio de 2024, la compañía notificó públicamente que había detectado un acceso no autorizado a sus sistemas, lo que resultó en la exfiltración de datos sensibles pertenecientes tanto a sus clientes corporativos (bancos y cooperativas de crédito) como a usuarios finales.

Según fuentes cercanas a la investigación, el incidente se descubrió tras la activación de alertas internas de comportamiento anómalo en los sistemas de almacenamiento de Marquis. La investigación inicial apunta a un ataque dirigido aprovechando vulnerabilidades en aplicaciones web expuestas, lo que permitió a los atacantes obtener credenciales privilegiadas y moverse lateralmente por la red.

### Detalles Técnicos

**CVE y vectores de ataque**
Aunque Marquis no ha divulgado públicamente el CVE específico explotado, expertos en ciberinteligencia han correlacionado el ataque con la explotación de vulnerabilidades conocidas en suites de software financiero, como las descritas en CVE-2023-34362 (MOVEit Transfer) y CVE-2024-23897 (vulnerabilidad de autenticación en aplicaciones Java). Se sospecha que los atacantes emplearon técnicas de spear phishing para obtener acceso inicial, seguido de la explotación de sesiones activas y elevación de privilegios.

**TTPs y frameworks MITRE ATT&CK**
Las tácticas, técnicas y procedimientos observados corresponden a las siguientes categorías del marco MITRE ATT&CK:

– **Initial Access (T1566):** Phishing dirigido a personal con acceso administrativo.
– **Privilege Escalation (T1068):** Explotación de vulnerabilidades en aplicaciones de gestión.
– **Lateral Movement (T1021):** Uso de Remote Desktop Protocol (RDP) interno.
– **Data Exfiltration (T1041):** Transferencia de datos a servidores externos mediante protocolos cifrados.

**Indicadores de Compromiso (IoC)**
Entre los IoC identificados se encuentran:

– IPs sospechosas asociadas a infraestructuras de Cobalt Strike y Metasploit.
– Hashes de archivos vinculados a cargadores de malware personalizados.
– Dominios tipo “typosquatting” similares a los de Marquis para campañas de phishing subsecuentes.

### Impacto y Riesgos

El alcance estimado incluye la exposición de datos de al menos 60 entidades financieras, con una afectación potencial de cientos de miles de registros de clientes. Los datos comprometidos abarcan nombres, direcciones, números de cuenta, historiales de transacciones y, en algunos casos, números de la seguridad social, lo que multiplica el riesgo de fraudes financieros y robo de identidad.

El incidente expone a las organizaciones afectadas a riesgos legales bajo la GDPR (en caso de clientes europeos) y la legislación estadounidense (GLBA, CCPA), así como a sanciones administrativas y pérdida de confianza. Según un informe de IBM, el coste promedio de una brecha de datos en el sector financiero supera los 5,85 millones de dólares, cifra que podría incrementarse si se demuestra negligencia en la protección de la información.

### Medidas de Mitigación y Recomendaciones

Marquis, junto con los equipos de respuesta de incidentes de las entidades afectadas, ha iniciado las siguientes acciones:

– **Cierre inmediato de accesos no autorizados** y reseteo de credenciales administrativas.
– **Implementación de doble factor de autenticación** (2FA) en todos los sistemas críticos.
– **Actualización urgente de software** para corregir vulnerabilidades conocidas.
– **Monitorización intensiva de logs** y análisis de tráfico en busca de actividades anómalas o persistentes.
– **Notificación a los reguladores y afectados**, cumpliendo los plazos legales establecidos por la GDPR, NIS2 y normativas estadounidenses.
– Recomendación de **simulacros de respuesta a incidentes** y **formación específica en amenazas de cadena de suministro**.

### Opinión de Expertos

Analistas de ciberseguridad consultados destacan que el ataque subraya la necesidad de revisar los controles de seguridad en la cadena de suministro y la importancia de la segmentación de redes. “El sector financiero sigue siendo uno de los más atacados, y la externalización de servicios incrementa la superficie de ataque. Es fundamental auditar regularmente a los proveedores y exigir pruebas de cumplimiento normativo y técnico”, afirma Elena López, CISO de una entidad bancaria española.

El uso de frameworks como Cobalt Strike o Metasploit demuestra una tendencia a ataques cada vez más sofisticados y personalizados, donde los controles tradicionales perimetrales resultan insuficientes.

### Implicaciones para Empresas y Usuarios

Para las entidades financieras la brecha implica no solo una amenaza técnica, sino también reputacional y regulatoria. La obligación de notificación a clientes y autoridades, junto con la posibilidad de acciones legales colectivas, aumenta la presión sobre los equipos de ciberseguridad.

Los usuarios finales deben estar atentos a posibles intentos de phishing o fraude utilizando los datos filtrados. Es recomendable el cambio inmediato de credenciales bancarias y la vigilancia proactiva de movimientos sospechosos en cuentas.

### Conclusiones

El incidente en Marquis Software Solutions es un recordatorio contundente de la importancia de gestionar el riesgo de terceros y la protección de datos en el sector financiero. La aplicación rigurosa de controles técnicos, el cumplimiento normativo y la concienciación son claves para prevenir, detectar y responder a incidentes de esta naturaleza, que seguirán aumentando en frecuencia y sofisticación.

(Fuente: www.bleepingcomputer.com)