AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Farmers Insurance sufre brecha de datos que expone información de 1,1 millones de clientes tras ataques a Salesforce**

admin

### 1. Introducción

El sector asegurador estadounidense se ha visto sacudido por un nuevo incidente de ciberseguridad de gran magnitud: Farmers Insurance, una de las mayores compañías del ramo en EE.UU., ha confirmado la filtración de información personal de aproximadamente 1,1 millones de clientes. Según ha podido saber BleepingComputer, el origen de la brecha se remonta a los recientes y extendidos ataques dirigidos contra instancias de Salesforce, una plataforma SaaS ampliamente adoptada en el sector para la gestión de relaciones con clientes (CRM). Este incidente eleva la preocupación sobre la seguridad en los entornos cloud y la cadena de suministro digital, al tiempo que pone a prueba la capacidad de respuesta de las organizaciones ante amenazas cada vez más sofisticadas.

### 2. Contexto del Incidente o Vulnerabilidad

La brecha de datos ha salido a la luz tras una notificación oficial remitida por Farmers Insurance a las autoridades de protección de datos de varios estados de EE.UU., en cumplimiento de las obligaciones de notificación recogidas en la legislación federal y estatal, y alineadas con el espíritu del GDPR europeo y la directiva NIS2 en materia de notificación temprana de incidentes.

El incidente se enmarca en una ola de ataques iniciada a comienzos de 2024 contra clientes de Salesforce. Los actores de amenazas han aprovechado configuraciones erróneas, API inseguros y credenciales comprometidas para acceder a datos sensibles almacenados en la nube, afectando a varias grandes empresas de sectores críticos. En el caso de Farmers Insurance, la filtración ha afectado a datos personales, incluyendo nombres completos, direcciones, números de teléfono, fechas de nacimiento y, en algunos casos, información parcial de cuentas bancarias y detalles de pólizas.

### 3. Detalles Técnicos

#### CVE y vectores de ataque

Aunque Salesforce no ha divulgado la existencia de vulnerabilidades con CVE específico asociadas a este caso, los análisis de incidentes previos indican que los atacantes aprovecharon principalmente configuraciones erróneas de permisos en la plataforma, así como el uso indebido de API REST y SOAP expuestas sin los controles de autenticación y autorización adecuados. En algunos casos, se ha detectado el uso de credenciales robadas mediante campañas de phishing dirigidas a empleados con acceso privilegiado.

#### TTP según MITRE ATT&CK

– **Initial Access (T1078: Valid Accounts)**: Uso de credenciales legítimas obtenidas por phishing o filtraciones previas.
– **Discovery (T1087: Account Discovery, T1069: Permission Groups Discovery)**: Enumeración de cuentas y permisos en la instancia Salesforce.
– **Collection (T1119: Automated Collection)**: Extracción automatizada de datos mediante scripts y herramientas que explotan las API públicas/privadas de Salesforce.
– **Exfiltration (T1041: Exfiltration Over C2 Channel)**: Volcado de grandes volúmenes de datos sensibles fuera del entorno de la organización.

#### Indicadores de Compromiso (IoC)

– Accesos inusuales a la API desde direcciones IP no habituales.
– Creación y uso de tokens de acceso fuera del horario laboral.
– Descargas masivas de registros de clientes en intervalos cortos.
– Alteraciones en los logs de auditoría de Salesforce.

#### Herramientas y frameworks

Si bien no se ha confirmado el uso de frameworks de post-explotación como Metasploit o Cobalt Strike en este caso concreto, sí se han identificado scripts personalizados y herramientas de automatización que permiten interactuar con las API de Salesforce, facilitando la extracción de datos a gran escala.

### 4. Impacto y Riesgos

El acceso no autorizado ha comprometido datos de más de un millón de clientes, lo que expone a la aseguradora a importantes riesgos regulatorios, reputacionales y económicos. Según estimaciones del sector, una brecha de estas características puede suponer costes directos e indirectos superiores a los 15 millones de dólares (teniendo en cuenta notificación, respuesta, litigios y posibles sanciones). Además, se incrementa el riesgo de ataques de ingeniería social, fraudes dirigidos y suplantación de identidad.

Desde el punto de vista normativo, Farmers Insurance podría enfrentar investigaciones por parte de organismos reguladores, tanto estatales como federales, y posibles demandas colectivas de clientes afectados.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión y endurecimiento de permisos**: Evaluar y restringir los privilegios de acceso en la plataforma Salesforce, aplicando el principio de mínimo privilegio.
– **Monitorización avanzada**: Implementar soluciones SIEM para la detección temprana de accesos anómalos y descargas masivas de datos.
– **Revisión de logs e IoC**: Analizar exhaustivamente los registros de acceso y actividad para identificar movimientos laterales o exfiltraciones adicionales.
– **Autenticación multifactor (MFA)**: Obligatoriedad del MFA para todos los usuarios, especialmente aquellos con acceso a datos sensibles.
– **Formación y concienciación**: Refuerzo de campañas internas contra phishing y suplantación de identidad.
– **Pruebas de pentesting y revisión de configuración SaaS**: Auditorías periódicas sobre las configuraciones de seguridad en Salesforce y otras aplicaciones cloud.

### 6. Opinión de Expertos

Analistas de ciberseguridad destacan que, si bien las plataformas SaaS como Salesforce ofrecen robustas capacidades de seguridad, la exposición real depende en gran medida de la correcta configuración y la gestión interna de accesos. «Este incidente es un claro recordatorio de que la seguridad en la nube es una responsabilidad compartida. Las configuraciones por defecto pueden no ser suficientes en entornos regulados y de alta sensibilidad como el sector asegurador», señala Marta González, CISO de una compañía de servicios financieros europea.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente su postura de seguridad en entornos SaaS, priorizando la gestión de identidades, la segmentación de datos y la monitorización continua. Este incidente subraya la necesidad de implementar controles y auditorías independientes sobre proveedores cloud, en consonancia con las exigencias de GDPR y NIS2.

Para los usuarios, el riesgo de phishing y fraudes derivados de la filtración de datos es elevado. Se recomienda extremar la vigilancia ante comunicaciones sospechosas y revisar periódicamente la actividad de cuentas bancarias y servicios relacionados.

### 8. Conclusiones

La brecha sufrida por Farmers Insurance constituye un hito en la cadena de incidentes asociados a la explotación de entornos cloud SaaS, poniendo de manifiesto la urgencia de reforzar las estrategias de ciberseguridad y gobernanza de datos. La combinación de errores de configuración, credenciales comprometidas y escasa visibilidad sobre la actividad en plataformas como Salesforce puede tener consecuencias devastadoras para la privacidad y la continuidad del negocio.

(Fuente: www.bleepingcomputer.com)