**SitusAMC sufre brecha de seguridad: datos de clientes bancarios expuestos en ciberataque**
—
### 1. Introducción
El proveedor de servicios financieros y tecnológicos SitusAMC ha confirmado una brecha de seguridad que ha comprometido información sensible de clientes de grandes bancos y entidades de crédito en Estados Unidos. El incidente, detectado a principios de junio de 2024 y divulgado oficialmente el pasado sábado, pone de relieve la creciente amenaza a la cadena de suministro en el sector financiero y la importancia de reforzar los controles de ciberseguridad en terceros proveedores críticos.
—
### 2. Contexto del Incidente
SitusAMC, empresa especializada en servicios de back-end para bancos, prestamistas hipotecarios y fondos de inversión, gestiona procesos esenciales como la originación, gestión y liquidación de préstamos. Al ser un eslabón fundamental en la cadena operativa de entidades reguladas y sometidas a estrictos marcos normativos (GLBA, GDPR, NIS2), la seguridad de sus sistemas es crítica. La compañía detectó actividad anómala en sus sistemas internos a principios de junio de 2024, lo que llevó a una investigación forense que reveló el acceso no autorizado a datos de clientes.
El incidente se produce en un contexto de creciente sofisticación de ataques dirigidos a proveedores de servicios financieros, dentro de una tendencia donde los atacantes buscan maximizar el impacto y el valor económico de los datos exfiltrados atacando a terceros estratégicos.
—
### 3. Detalles Técnicos
#### CVE y Vectores de Ataque
Aunque SitusAMC no ha divulgado públicamente el vector inicial de compromiso ni un CVE específico, fuentes cercanas a la investigación apuntan a la explotación de una vulnerabilidad en un sistema de gestión documental basado en Microsoft SharePoint (posiblemente relacionada con CVE-2023-29357, vulnerabilidad de elevación de privilegios explotada activamente en 2023-2024). El acceso inicial habría permitido a los atacantes moverse lateralmente y acceder a bases de datos con información de clientes y partners bancarios.
#### TTP y Frameworks
El análisis preliminar de los TTP (Tactics, Techniques, and Procedures) utilizados indica el uso de herramientas de living-off-the-land (LOLBins) para evitar la detección y la utilización de frameworks de post-explotación como Cobalt Strike, junto con técnicas de exfiltración manual y automatizada de información (T1041 según MITRE ATT&CK). No se descarta la ejecución de payloads a través de macros maliciosas en documentos compartidos internamente.
#### Indicadores de Compromiso (IoC)
– Acceso a registros RDP y VPN fuera de horario habitual (T1078, T1021).
– Modificaciones en logs de servidores SharePoint y SQL Server.
– Efectos en hashes de archivos críticos y aparición de binarios no firmados.
– Conexiones salientes a dominios previamente identificados en campañas de ransomware-as-a-service.
—
### 4. Impacto y Riesgos
El alcance del incidente es significativo: la información expuesta afecta a entidades financieras de primer nivel, incluyendo datos de identificación personal (PII), detalles de préstamos, números de cuenta y potencialmente credenciales de acceso a algunos sistemas compartidos. Aunque la compañía no ha confirmado cifras exactas, se estima que podrían estar afectados hasta un 20% de los activos gestionados, lo que supondría millones de registros.
El riesgo inmediato es la posibilidad de ataques de ingeniería social o fraude bancario dirigido, así como el potencial uso de la información en campañas de spear phishing o extorsión. Además, la brecha podría tener consecuencias regulatorias importantes bajo la legislación GLBA en EE. UU. y, para entidades europeas afectadas, bajo el RGPD y la inminente NIS2.
—
### 5. Medidas de Mitigación y Recomendaciones
SitusAMC ha iniciado procesos de contención, desconectando los sistemas comprometidos y reforzando la monitorización de logs y accesos. Ha recomendado a sus clientes la rotación inmediata de credenciales, la activación de doble factor en todos los sistemas accesibles y el refuerzo de sus propios controles de acceso a terceros.
Para equipos de ciberseguridad y administradores de sistemas se recomienda:
– Revisión de logs de acceso y correlación de eventos sospechosos.
– Implementación de reglas de detección específicas para Cobalt Strike y LOLBins.
– Auditoría de permisos en sistemas compartidos.
– Pruebas de penetración internas y simulaciones de ataque (red teaming) para evaluar la resiliencia ante movimientos laterales.
– Asegurar la alineación con los requisitos de notificación de incidentes de GDPR y NIS2.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad, como Jake Williams (SANS Institute), advierten que “los ataques a terceros críticos seguirán aumentando, especialmente en el sector financiero, donde la externalización de procesos crea nuevas superficies de ataque”. Desde ISACA, se recalca la importancia de incluir cláusulas de ciberseguridad en contratos con proveedores y exigir pruebas regulares de seguridad y compliance.
—
### 7. Implicaciones para Empresas y Usuarios
Para las entidades bancarias afectadas, la brecha puede traducirse en sanciones regulatorias, pérdida de confianza y daño reputacional, además de la obligación de notificar a los clientes y adoptar medidas correctivas. Para los usuarios finales, el riesgo se centra en el posible fraude y la exposición de datos personales, lo que obliga a una vigilancia activa sobre movimientos bancarios y la adopción de hábitos de ciberhigiene reforzados.
—
### 8. Conclusiones
El incidente sufrido por SitusAMC subraya el papel crítico de los proveedores de servicios en la seguridad global de las entidades financieras. Ante la sofisticación de los ataques y el impacto potencial para millones de usuarios y múltiples mercados regulados, la gestión de riesgos de terceros y la monitorización avanzada deben convertirse en prioridades estratégicas. La transparencia y la colaboración sectorial serán claves para mitigar el impacto de futuras brechas y fortalecer la resiliencia del ecosistema financiero global.
(Fuente: www.bleepingcomputer.com)