AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Fuga de datos en Chess.com: Amenaza a millones tras el compromiso de un servicio de transferencia de archivos**

admin

### Introducción

La plataforma de ajedrez en línea Chess.com ha confirmado una brecha de seguridad que podría afectar a millones de usuarios tras el acceso no autorizado a una aplicación de transferencia de archivos de terceros. Este incidente pone de relieve los riesgos inherentes a la dependencia de servicios externos en la cadena de suministro digital y subraya la necesidad de una gestión rigurosa de los proveedores en el ecosistema de ciberseguridad actual.

### Contexto del Incidente

El pasado 2 de julio de 2024, Chess.com notificó públicamente una intrusión tras detectar accesos sospechosos a una plataforma de transferencia de archivos utilizada para la gestión de información sensible. Según ha trascendido, el servicio afectado es MOVEit Transfer, un software ampliamente utilizado por empresas para compartir archivos de forma segura. Este incidente se suma a la reciente ola de ataques relacionados con vulnerabilidades críticas en este tipo de aplicaciones, que han impactado a organizaciones de sectores tan diversos como la banca, sanidad y educación.

La fuga de datos compromete información personal de los usuarios de Chess.com, una de las mayores comunidades de ajedrez online con más de 150 millones de cuentas registradas. La compañía, en su comunicado, ha subrayado que los sistemas principales de juego y autenticación no se han visto comprometidos, pero la información expuesta podría tener implicaciones serias para la privacidad y seguridad de los afectados.

### Detalles Técnicos

#### CVE y vectores de ataque

El ataque está relacionado con la explotación de la vulnerabilidad **CVE-2023-34362** en MOVEit Transfer, clasificada con una puntuación CVSS de 9,8 (crítica). Esta vulnerabilidad permite la ejecución remota de código (RCE) mediante la manipulación de peticiones SQL y la carga de webshells en el servidor comprometido. Los atacantes emplearon técnicas de reconocimiento automatizado (recon) para identificar instancias expuestas, seguido de la explotación directa empleando scripts personalizados y herramientas como Metasploit para automatizar el proceso.

#### TTP y marcos de referencia

El modus operandi observado se alinea con técnicas del marco **MITRE ATT&CK** como «Exploitation for Client Execution» (T1190), «Valid Accounts» (T1078) y «Data Exfiltration Over Web Service» (T1567.002). Se han identificado indicadores de compromiso (IoC), como hashes de archivos maliciosos, direcciones IP de comando y control (C2) y patrones de tráfico de exfiltración. El grupo de amenazas atribuido, que según análisis de inteligencia podría vincularse con bandas de ransomware como Cl0p, ha utilizado en anteriores campañas frameworks como **Cobalt Strike** para el movimiento lateral y persistencia.

#### Exfiltración y persistencia

Los logs forenses muestran la creación de cuentas administrativas temporales y la utilización de credenciales comprometidas para el acceso a recursos internos. La exfiltración se habría realizado mediante conexiones HTTPS cifradas hacia servidores ubicados fuera del Espacio Económico Europeo, dificultando el rastreo y la mitigación en tiempo real.

### Impacto y Riesgos

El alcance de la brecha es significativo: se estima que aproximadamente un 15% de la base de usuarios de Chess.com podría haberse visto afectada, lo que equivale a más de 20 millones de registros. La información expuesta incluye nombres, direcciones de correo electrónico, fechas de nacimiento y, en algunos casos, hashes de contraseñas. No se descarta la posible exposición de datos relacionados con métodos de pago, aunque la compañía no ha confirmado este extremo.

Desde el punto de vista de riesgos, este incidente puede facilitar ataques de phishing dirigido, ingeniería social y potenciales accesos no autorizados a cuentas en otras plataformas, especialmente si los usuarios reutilizan contraseñas. Además, Chess.com podría enfrentarse a sanciones regulatorias bajo el **Reglamento General de Protección de Datos (GDPR)** y la **Directiva NIS2**, dada la naturaleza transfronteriza del servicio y el volumen de datos comprometidos.

### Medidas de Mitigación y Recomendaciones

Chess.com ha procedido a:

– Desactivar temporalmente la integración con el servicio de transferencia afectado y realizar un análisis exhaustivo de logs.
– Solicitar el cambio de contraseña a todos los usuarios potencialmente afectados.
– Implementar controles adicionales de autenticación multifactor (MFA) en todos los accesos administrativos.
– Revisar la segmentación de red y restringir la comunicación entre sistemas críticos y plataformas externas.
– Actualizar a la última versión de MOVEit Transfer y aplicar los parches de seguridad recomendados por el fabricante.

Se recomienda a las organizaciones:

– Realizar una revisión de proveedores externos y exigir auditorías de seguridad periódicas.
– Monitorizar patrones anómalos de acceso a servicios de transferencia de archivos.
– Formar a los empleados sobre riesgos de phishing y ataques de ingeniería social.

### Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Kroll y Mandiant, coinciden en que los ataques a la cadena de suministro seguirán en aumento, especialmente contra servicios SaaS y herramientas de intercambio de archivos. Subrayan la importancia de aplicar el principio de mínimo privilegio y de mantener una monitorización continua de los accesos a sistemas críticos. Además, destacan que la rápida notificación y colaboración con los equipos de respuesta a incidentes es clave para limitar el impacto.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente refuerza la necesidad de una gestión de riesgos de terceros y la adopción de marcos de seguridad como ISO 27001 o NIST CSF. Los usuarios, por su parte, deben adoptar buenas prácticas de higiene digital, como el uso de contraseñas únicas y la activación del MFA. El hecho de que la brecha derive de un proveedor externo plantea dudas sobre la responsabilidad compartida y la suficiencia de las cláusulas contractuales en materia de seguridad.

### Conclusiones

El caso de Chess.com es un recordatorio contundente de la fragilidad de la cadena de suministro digital y la necesidad de una defensa en profundidad que abarque no sólo los sistemas internos, sino también los servicios y proveedores integrados. A medida que los atacantes perfeccionan sus técnicas para explotar vulnerabilidades en software de terceros, la resiliencia organizacional dependerá de la capacidad para anticipar, detectar y responder eficazmente a este tipo de amenazas.

(Fuente: www.bleepingcomputer.com)