Hace diez años, un grupo de hackers que se autodenominaba Guardianes de la Paz publicó un conjunto de comunicaciones y datos internos de Sony Pictures. ¿Su exigencia? Que Sony cancelara una próxima película, La entrevistaen la que Seth Rogen y James Franco interpretaron a periodistas que intentaban conseguir una entrevista con Kim Jong-Un.
Lo que siguió se convirtió en una historia internacional y condujo a la salida final de algunos ejecutivos de Sony debido al contenido embarazoso de sus comunicaciones.
A principios de este mes, el grupo hacktivista NullBulge, que dice elegir a sus objetivos basándose en “proteger los derechos de los artistas y asegurar una compensación justa por su trabajo”, publicó un terabyte de datos de The Walt Disney Co., incluidas comunicaciones de canales internos de Slack, imágenes, inicios de sesión y otros datos.
“Diviértete revisándolo”, les dijo el grupo a los visitantes de su sitio web.
Sin duda, el hackeo de Disney de 2024 no es el de Sony de 2014. Si bien los hackers de Sony parecen haber tenido un objetivo muy específico (lograr que se archive una película controvertida), los hackers de Disney parecen tener motivaciones más quijotescas (una antipatía hacia el arte generado por inteligencia artificial, por ejemplo).
Pero en muchos sentidos, el nuevo hackeo es emblemático de una preocupante y creciente tendencia que ha afectado a muchas empresas del sector de los medios y el entretenimiento.
En los últimos meses, Roku sufrió una vulneración de seguridad que afectó a cientos de miles de cuentas de usuarios, y el propietario de Ticketmaster, Live Nation, reveló que un grupo de piratas informáticos obtuvo datos de más de 500 millones de sus clientes. A principios de julio, AT&T reveló una vulneración masiva que incluyó datos de llamadas y mensajes de texto adjuntos a “casi todos” sus clientes de telefonía móvil.
La razón detrás de todos esos ataques era mucho más clara: dinero.
“La gran mayoría de las veces, todo se reduce a dólares y centavos, no se trata de hacer una declaración en sí misma”, dice Collin Walke, abogado de la firma Hall Estill, que se especializa en cuestiones de ciberseguridad. “Claro, en algunas ocasiones puede ser así, y en otras ocasiones tal vez se trate de seguridad nacional, pero en la gran mayoría de estos casos, se trata de dólares”.
En el caso de Roku, los piratas informáticos vendieron los datos de las cuentas por 50 centavos cada una, mientras que los piratas informáticos de Ticketmaster exigieron un rescate a la empresa para borrar los datos de sus clientes. AT&T pagó a sus piratas informáticos 370.000 dólares en bitcoins para borrar los datos que robaron. de acuerdo a Con cableque habló con el intermediario que negoció el acuerdo.
“En general, diría que un hacker busca algún tipo de información”, según el consultor de seguridad Tyler Hudak. “La mayoría de las veces, el atacante intentará monetizar el robo de esa información, ya sea mediante algún tipo de rescate o intentando subastarla al mejor postor en la red oscura”.
Pero las grandes empresas de medios, entretenimiento y telecomunicaciones pueden ser objetivos especialmente atractivos para los piratas informáticos, afirman varios expertos.
Para empezar, las empresas que son conocidas se convierten en objetivos de mayor perfil. Y a medida que las empresas de entretenimiento se adentren más en el streaming directo al consumidor, también tendrán “más probabilidades de tener datos que interesen a alguien”, dice Hudak.
Esto puede incluir información personal sobre clientes de transmisión, números de tarjetas de crédito u otra información.
“Sin duda, esto pondrá a alguien en una posición más vulnerable si se trata de una gran organización como Disney, AT&T o Ticketmaster”, añade Hudak. “En primer lugar, los atacantes sabrán que tienen los bolsillos más llenos que una pequeña empresa manufacturera del Medio Oeste. El atacante obtendrá más credibilidad al decir: 'Oh, he pirateado a Disney', en lugar de una pequeña tienda familiar”.
Y el valor de esos datos sólo está aumentando gracias a otras nuevas tecnologías que permiten que los atacantes los aprovechen con fines nefastos.
“Todos deben darse cuenta de que el almacenamiento de estos datos presenta enormes riesgos para todos, porque con la IA, los piratas informáticos ahora pueden acceder a esos datos mucho más rápido y también establecer conexiones entre personas o momentos embarazosos mucho más rápido”, dice Walke.
Y la proliferación prodigiosa de ataques corporativos se ve favorecida por el hecho de que el costo y la habilidad para realizar un ataque a gran escala han disminuido considerablemente desde que Sony lo hizo hace una década. Lo que antes era principalmente el ámbito de actores de estados nacionales o grandes grupos ahora se puede lograr con software listo para usar que se puede comprar en la red oscura.
Para muchas grandes empresas, esos datos pueden incluso estar un poco fuera de su control. Las brechas de seguridad de Ticketmaster y AT&T estaban relacionadas con un proveedor de servicios en la nube externo llamado Snowflake, mientras que la brecha de seguridad de Disney parece haberse centrado en sus cuentas de la plataforma de mensajería Slack, propiedad de Salesforce. La empresa de seguridad Mandiant, propiedad de Google, afirma haber identificado y notificado a 165 clientes de Snowflake que se habían visto afectados.
Si bien las empresas tienen cierta capacidad para limitar el acceso, si un tercero tiene una vulnerabilidad, sus clientes podrían estar en riesgo.
“Muchas de estas empresas, como AT&T, utilizan proveedores de servicios en la nube de terceros”, afirma Walke. “Esos terceros dicen: 'Mantendremos sus datos seguros y protegidos'. Bueno, me alegro de que haya recibido un papel, pero ¿qué está haciendo para verificarlo?”
Los riesgos de confiar en terceros se hicieron aún más evidentes el 19 de julio, cuando las empresas que dependen del software de la firma de ciberseguridad CrowdStrike vieron cómo sus sistemas colapsaban después de una “actualización de contenido” fallida. Aerolíneas, bancos, agencias públicas e incluso emisoras como NBC y Sky News se vieron afectadas.
Es probable que la cantidad de ataques cibernéticos denunciados aumente con el tiempo, no solo porque cada vez es más simple y lucrativo, sino también porque las nuevas reglas de la Comisión de Bolsa y Valores requieren que las empresas públicas revelen los incidentes de ciberseguridad “materiales”.
“Como resultado, hay muchas empresas que antes no habrían informado y ahora lo hacen porque es algo que podría elevar el nivel de incidente material”, dice Chris Pierson, director ejecutivo de la consultora BlackCloak.
Pero la gran conclusión es que, si bien el hackeo a Sony hace una década fue impactante y novedoso, en 2024, en un mundo donde todas las empresas tienen grandes cantidades de datos, seguros cibernéticos y consultores de seguridad, la amenaza de hackeos puede ser la nueva normalidad.
“Creo que todas estas grandes infracciones nos han demostrado que no importa el tamaño de una organización ni cuánto dinero pueda destinar a su presupuesto de seguridad”, afirma Hudak. “Al final, todo el mundo se ve comprometido. Planificar para ello será de gran ayuda”.
