AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El grupo ShinyHunters irrumpe en sistemas de Checkout.com y lanza extorsión masiva**

admin

### Introducción

En una nueva escalada dentro del panorama de amenazas financieras, la fintech británica Checkout.com ha confirmado una brecha de seguridad significativa en una de sus infraestructuras de almacenamiento en la nube. El grupo de ciberdelincuentes conocido como ShinyHunters ha reivindicado la autoría del ataque y actualmente extorsiona a la compañía, exigiendo un rescate para no divulgar datos sensibles supuestamente obtenidos. Este incidente pone de relieve los retos en la protección de entornos cloud legacy y la sofisticación de las campañas de extorsión actuales, que afectan de manera directa a la reputación y continuidad de negocio de las empresas del sector financiero.

### Contexto del Incidente

Checkout.com, proveedora líder de soluciones de pago a nivel internacional, reconoció haber sufrido un acceso no autorizado a una instancia de almacenamiento en la nube que consideraba ya obsoleta. Aunque la compañía ha subrayado que los sistemas de pago principales no han sido comprometidos, la filtración se produce en un momento de máxima sensibilidad, dado el marco regulatorio actual (GDPR, NIS2) y la especial atención que la industria fintech presta a la protección de datos y a la prevención del fraude.

ShinyHunters, grupo con un largo historial de ataques dirigidos a grandes corporaciones —incluyendo a compañías como Tokopedia, Microsoft, y AT&T—, ha publicado pruebas de la filtración y amenaza con divulgar información adicional si no se atienden sus demandas económicas. Según diversas fuentes, el grupo estaría solicitando una suma de seis cifras para evitar la publicación de los datos.

### Detalles Técnicos

Aunque por el momento Checkout.com no ha revelado detalles exhaustivos sobre la vulnerabilidad explotada, fuentes cercanas a la investigación han apuntado a un acceso indebido a un bucket de almacenamiento S3 de AWS sin la debida política de acceso restringido, lo que permitió a los atacantes enumerar y exfiltrar información sensible.

**CVE relevantes:** Hasta la fecha, no se ha asociado el incidente a ningún CVE específico, pero la configuración inadecuada de buckets S3 y el uso de credenciales obsoletas están en el punto de mira (MITRE ATT&CK T1530: Data from Cloud Storage Object).

**Vectores de ataque:**
– Enumeración y escaneo de buckets cloud (T1087.004: Cloud Account)
– Uso de credenciales filtradas o expuestas (T1552: Unsecured Credentials)
– Exfiltración de datos a través de canales cifrados (T1041: Exfiltration Over C2 Channel)

**Indicadores de compromiso (IoC):**
– Accesos no autorizados desde direcciones IP asociadas a VPNs y proxies típicamente empleados por ShinyHunters
– Actividad anómala en logs de acceso a S3, incluyendo descargas masivas y listados de objetos

**Herramientas utilizadas:**
Aunque no se ha confirmado el uso de frameworks específicos, ShinyHunters es conocido por emplear herramientas personalizadas para la automatización de escaneo y exfiltración en entornos cloud, así como scripts para la manipulación de metadatos en buckets S3.

### Impacto y Riesgos

El alcance exacto de la fuga de datos aún está bajo análisis forense, pero las primeras estimaciones apuntan a la posible exposición de información interna, documentos técnicos, registros de actividad, e incluso datos de clientes. El impacto potencial incluye:

– Compromiso de secretos comerciales y propiedad intelectual
– Riesgo de spear phishing y fraudes dirigidos a clientes y partners
– Daños reputacionales severos y pérdida de confianza en la marca
– Sanciones regulatorias bajo GDPR y NIS2, que podrían ascender hasta el 4% del volumen de negocio global

El incidente también eleva el riesgo de ataques de cadena de suministro, dada la posición de Checkout.com como procesador de pagos de referencia para centenares de empresas.

### Medidas de Mitigación y Recomendaciones

Tras la detección del ataque, Checkout.com afirma haber aislado y eliminado el sistema legacy comprometido. Las mejores prácticas recomendadas incluyen:

– Auditoría inmediata de todos los buckets y repositorios cloud, revisando políticas de acceso y aplicando el principio de mínimo privilegio
– Implementación de herramientas de DLP (Data Loss Prevention) y monitorización avanzada de logs en tiempo real
– Rotación urgente de credenciales y claves de acceso a entornos cloud
– Simulación de ataques tipo Red Team y pentesting orientado a cloud (especialmente S3, GCS y Azure Blob)
– Formación de empleados en reconocimiento de técnicas de ingeniería social y spear phishing

### Opinión de Expertos

Especialistas en ciberseguridad como Jake Moore (ESET) advierten que los sistemas legacy suelen ser el eslabón más débil de la cadena, y que la migración a infraestructuras modernas debe ir acompañada de una desactivación segura de los sistemas antiguos. “La automatización del control de accesos y la vigilancia proactiva son fundamentales frente a grupos como ShinyHunters, que combinan inteligencia humana y herramientas automatizadas para encontrar configuraciones erróneas”, afirma Moore.

### Implicaciones para Empresas y Usuarios

Este caso refuerza la necesidad de una gestión integral del ciclo de vida de los sistemas cloud, no solo durante la producción sino también en la etapa de deprecación y retirada. Para las empresas, el incidente subraya la importancia de la vigilancia continua y la respuesta rápida ante incidentes. Los usuarios finales, por su parte, deben permanecer atentos a posibles intentos de phishing derivados de la información filtrada.

A nivel sectorial, el ataque a Checkout.com anticipa un repunte de campañas de extorsión dirigidas a fintechs y procesadores de pagos, donde los datos son activos críticos y el tiempo de reacción resulta clave para evitar pérdidas millonarias y sanciones regulatorias.

### Conclusiones

La brecha en Checkout.com, atribuida a ShinyHunters, evidencia los riesgos inherentes a la gestión de infraestructuras cloud legacy y la sofisticación de las amenazas actuales. La prevención y respuesta ante este tipo de incidentes exige una estrategia holística, combinando tecnología, procesos y formación continua. La transparencia y la colaboración con las autoridades serán cruciales para minimizar el impacto y restaurar la confianza de clientes y partners en el ecosistema fintech.

(Fuente: www.bleepingcomputer.com)