AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Dentsu revela brecha de seguridad en Merkle: datos de empleados y clientes comprometidos en EE. UU.**

admin

### Introducción

El grupo japonés Dentsu, uno de los mayores conglomerados globales de publicidad y marketing digital, ha hecho público un incidente de ciberseguridad que ha afectado a su filial estadounidense, Merkle. La brecha, que ha comprometido información tanto de empleados como de clientes, pone de manifiesto la criticidad de la protección de datos en entornos corporativos altamente digitalizados. Este suceso subraya la creciente sofisticación de las amenazas dirigidas a empresas del sector del marketing y la publicidad, donde la gestión de grandes volúmenes de datos personales y corporativos es habitual.

### Contexto del Incidente

El incidente fue revelado por Dentsu tras detectar actividades anómalas en los sistemas de Merkle, su filial especializada en servicios de marketing digital y análisis de datos en Estados Unidos. Merkle, con presencia en más de 50 países y una plantilla que supera los 14.000 empleados, gestiona campañas para algunas de las principales marcas globales, lo que aumenta el atractivo de sus sistemas para los actores maliciosos.

Aunque la compañía no ha confirmado públicamente la fecha exacta del incidente, fuentes internas sitúan el compromiso a finales de mayo de 2024. El ataque afectó a sistemas críticos de la infraestructura TI de Merkle, resultando en la exposición de datos sensibles relacionados tanto con empleados como con clientes, incluyendo información de identificación personal (PII), credenciales internas y detalles de campañas publicitarias.

### Detalles Técnicos

Aunque Dentsu ha mantenido bajo reserva los detalles técnicos específicos mientras la investigación sigue en curso, las primeras evidencias apuntan a un ataque de tipo ransomware, posiblemente vinculado a grupos como BlackCat/ALPHV o LockBit, ambos con actividad reciente en el sector de servicios. No se ha confirmado públicamente la asignación de un CVE concreto, pero se barajan dos vectores de intrusión principales:

– **Compromiso de credenciales VPN obsoletas**: Muchos ataques recientes han explotado vulnerabilidades en soluciones de acceso remoto, como Fortinet (CVE-2023-27997) o MOVEit (CVE-2023-34362), permitiendo el movimiento lateral en la red interna.
– **Phishing dirigido (spear phishing)**: Los atacantes podrían haber utilizado técnicas de ingeniería social para obtener acceso inicial a través de cuentas privilegiadas.

En cuanto a TTPs (Tactics, Techniques, and Procedures) alineadas con el framework MITRE ATT&CK, se han observado las siguientes:

– **TA0001 Initial Access**: Spear phishing (T1566.001)
– **TA0002 Execution**: Uso de scripts PowerShell (T1059.001)
– **TA0005 Defense Evasion**: Desactivación de antivirus (T1562.001)
– **TA0007 Discovery**: Enumeración de cuentas y recursos internos (T1087, T1018)
– **TA0011 Command and Control**: Uso de Cobalt Strike para persistencia y exfiltración (T1071.001)

Algunos Indicadores de Compromiso (IoC) preliminares incluyen direcciones IP asociadas a servidores C2, hashes de archivos maliciosos y patrones de tráfico anómalos en los logs de acceso remoto.

### Impacto y Riesgos

La exposición de datos afecta tanto a empleados como a clientes, con riesgos asociados tales como:

– **Robo de identidad y fraude**: La PII expuesta puede ser utilizada para ataques de phishing, fraude financiero o suplantación.
– **Compromiso de campañas**: Los detalles sobre campañas publicitarias pueden ser explotados por la competencia o utilizados para ataques de ingeniería social dirigidos.
– **Daño reputacional**: La confianza de los clientes y socios comerciales puede verse gravemente afectada, impactando en la posición de Merkle y Dentsu en el mercado global.
– **Sanciones regulatorias**: Dada la aplicación extraterritorial del GDPR y la inminente entrada en vigor de la Directiva NIS2 en la UE, la empresa podría enfrentarse a cuantiosas multas si se determina negligencia en la protección de los datos.

### Medidas de Mitigación y Recomendaciones

Tras la identificación del incidente, Merkle ha implementado varias medidas de contención y mitigación:

– **Desconexión de sistemas afectados y rotación de credenciales críticas**.
– **Implementación de controles de acceso reforzados y autenticación multifactor (MFA) en todos los servicios sensibles**.
– **Escaneo avanzado de endpoints y servidores mediante EDR (Endpoint Detection & Response) y SIEM para detectar actividad residual**.
– **Revisión y actualización de todas las VPN y sistemas de acceso remoto, así como auditoría de logs históricos para identificar movimientos laterales**.
– **Comunicación proactiva a empleados y clientes potencialmente afectados, facilitando servicios de monitorización de identidad**.

Se recomienda a todas las organizaciones del sector:

– Mantener actualizado el inventario de activos y aplicar parches de seguridad de forma inmediata.
– Realizar simulaciones de phishing y formación contínua en ciberseguridad para usuarios con acceso privilegiado.
– Implementar controles de segmentación de red y privilegios mínimos.
– Monitorizar continuamente los IoC y estar atentos a nuevas amenazas reportadas por el CERT y organismos sectoriales.

### Opinión de Expertos

Analistas de ciberseguridad consultados señalan que la exposición de datos en grandes agencias publicitarias se está convirtiendo en un vector común para cibercriminales, dada la riqueza y diversidad de los datos gestionados. «Este tipo de incidentes suelen preceder a campañas de doble extorsión, en las que los atacantes no solo cifran la información sino que amenazan con su publicación para forzar el pago», señala un consultor de Threat Intelligence de CrowdStrike.

Por su parte, expertos en cumplimiento normativo enfatizan la importancia de los planes de respuesta a incidentes y la notificación temprana a las autoridades, especialmente bajo el marco GDPR y NIS2, que elevan la responsabilidad legal y financiera de las empresas ante este tipo de brechas.

### Implicaciones para Empresas y Usuarios

Las empresas del sector marketing y publicidad deben revisar sus modelos de gestión de datos y su perímetro de seguridad, especialmente en un contexto de trabajo híbrido y dependencia de soluciones cloud. Para los usuarios, la exposición de datos puede traducirse en un incremento de ataques de phishing y suplantación de identidad, por lo que se recomienda extremar la precaución ante comunicaciones sospechosas.

A nivel empresarial, la tendencia de ataques dirigidos a cadenas de suministro y terceros proveedores subraya la necesidad de controles de seguridad integrales y auditorías periódicas de partners estratégicos.

### Conclusiones

El incidente sufrido por Merkle, filial de Dentsu, representa un caso paradigmático de los riesgos inherentes a la gestión de grandes volúmenes de datos en entornos digitales complejos. La correcta identificación, contención y notificación del incidente serán claves para mitigar el impacto y evitar sanciones regulatorias. La ciberseguridad debe seguir siendo una prioridad estratégica, especialmente en sectores donde la información constituye el núcleo del negocio.

(Fuente: www.bleepingcomputer.com)