La CNIL informa periódicamente sobre violaciones de datos típicas inspiradas en incidentes reales que le son notificados. El objetivo de esta publicación es permitir que todos los profesionales comprendan y prevengan los riesgos de acceder a los datos en poder de los subcontratistas.

La historia de Bu3ba y Dan

El curso del ataque

1. Unas semanas antes del ataque, Bu3ba, un hacker, recopiló una multitud de direcciones de correo electrónico profesionales de la red oscura.
    
2. Luego lanza una campaña de phishing , una operación barata y efectiva. Utilizando una de las direcciones recopiladas, Bu3ba envió un mensaje a una plataforma logística, haciéndose pasar por un cliente conocido de la empresa (vio el logotipo de la empresa en la página «Nuestros Clientes» del sitio web de la plataforma).
   
   El mensaje falso, que parece legítimo, solicita una acción urgente y proporciona un enlace a una pantalla de autenticación con los colores de la empresa cliente. El empleado de la plataforma se autentica automáticamente con el nombre de usuario y la contraseña compartidos dentro del equipo. Aparece un mensaje indicando que el sistema no está disponible.
    
3. Bu3ba ha tenido éxito en su ataque y comienza su cosecha: detecta un acceso directo, sin protección alguna , a un servicio que parece contener un gran volumen de datos. Luego se dedica por completo a esto último.
    
4. Al iniciar sesión con la cuenta robada del empleado, Bu3ba descubrió que solo tenía acceso a los datos relacionados con dos empresas clientes. El acceso es, sin embargo, total y, la herramienta que lo ofrece , lanza una descarga de los datos de cada una de estas bases de datos.
    
5. Desde esta misma cuenta, accede a otras bases de datos de clientes modificando las consultas enviadas a la base de datos . Se muestran los datos de una tercera cuenta de cliente importante: los descarga. Con paciencia y meticulosidad, recoge un gran volumen de datos de cada cliente, que luego comienza a analizar.
   
   Dado el servicio ofrecido (logística), los datos son principalmente datos personales: estado civil, dirección postal, direcciones de correo electrónico, números de teléfono, pero también referencias de pedidos y solicitudes específicas, en cantidades muy grandes. En estas diferentes bases de datos hay varios millones de líneas.
    
6. Para cubrir sus huellas lo máximo posible, Bu3ba utilizó diferentes VPN que pasaban por varios países, no necesariamente cooperando entre sí. El nivel de seguridad general era (muy) bajo: no era necesario pertenecer a un determinado rango de direcciones IP ni utilizar una VPN para conectarse desde Internet. No hubo ninguna interrupción cuando comenzaron las diferentes descargas: sospecha de la ausencia de DLP ( Data Loss Prevention), un dispositivo que normalmente permite contrarrestar este tipo de descargas masivas. Como no sabía si existía algo así como un registro mínimo  , esperó unos meses antes de publicar sus hallazgos.
    
7. Bu3ba publicó el archivo en un foro de la web oscura  y agregó una captura de pantalla de unos cientos de líneas de la base de datos. Pronto, la información se difundirá: como suele suceder, es en este punto cuando la víctima descubrirá el hackeo, probablemente a través de una publicación que la ataca en alguna red social. En el mejor de los casos, será un servicio de búsqueda de fugas de información en Internet (IILS) de uno de los clientes el que le alertará.

¿Cómo reaccionar?

La investigación interna

Unas horas después de la publicación de Bu3ba, Dan, un responsable de protección de datos de un cliente de una plataforma logística, recibió una llamada de la policía informándole de que datos pertenecientes a su organización estaban en línea en la dark web . Un usuario de Internet detectó un archivo que contenía una gran cantidad de datos, algunos de los cuales estaban vinculados al empleador de Dan, y dio la alarma.

El equipo de Dan analiza la muestra cargada y concluye que los datos parecen pertenecerles. Sin embargo, el Centro de Operaciones de Seguridad («SOC»   ) de la empresa de Dan no detectó ningún ataque masivo a su sistema de información que pudiera haber resultado en un compromiso general.

Sin embargo, tras una investigación más profunda, parece que estos datos corresponden a los que se transmiten a un subcontratista para fines de entrega. Dan contactó rápidamente con su subcontratista, quien también había sido alertado por otro de sus clientes. Se descubre así el punto de entrada.

Notificación de la infracción a la CNIL e información a los particulares

Con la ayuda de su subcontratista, Dan tendrá que gestionar la violación de datos personales que el incidente constituye en el sentido del RGPD . Por tanto, dispone de 72 horas desde el descubrimiento del incidente para realizar esta notificación a la CNIL.

El subcontratista cuenta con procedimientos internos de gestión de incidentes y recopila una serie de elementos para ayudar a los controladores de datos a realizar sus notificaciones de violaciones de datos.

1. Documentar y notificar a la CNIL . Primero, Dan consolida la información recopilada de su proveedor de servicios y documenta este incidente como una violación de datos personales. Tras analizar y consultar el dictamen de la CNIL sobre el tema, le notifica la violación de datos.
    
2. Informar a la gente. Los datos afectados no son sensibles en el sentido de la ley . Sin embargo, como resultado de la filtración se filtraron más de un millón de direcciones, correos electrónicos y números de teléfono, el riesgo debe considerarse alto. Redacta un mensaje informativo para los clientes afectados , proporcionando la información obligatoria: las circunstancias del incidente, la naturaleza de los datos en cuestión, el punto de contacto para obtener información adicional, las medidas ya adoptadas y previstas, así como las posibles consecuencias para las personas afectadas, en este caso específico, el robo de datos bancarios.
   
   Tras contactar con la unidad de infracciones de la CNIL ( violations@cnil.fr ) para asegurarse de que la información sea lo más clara posible para los destinatarios, se decidió redactarla en forma de respuestas a las siguientes preguntas:

• «¿Qué pasó?» »
• ¿Cómo reaccionamos?
• ¿Qué datos se ven afectados?
• ¿Cuáles son las posibles consecuencias?
• ¿Cuáles son nuestras recomendaciones?
• y «¿A quién contactar si tienes preguntas?». 

3. Completar la notificación. Tras la notificación de las personas afectadas, Dan realizó una notificación adicional a la CNIL y transmitió la nueva información  : una cifra precisa del número de personas afectadas, la descripción del recorrido seguido por el atacante, las medidas aplicadas para garantizar que esto no vuelva a suceder, el número de personas informadas y un modelo no nominativo del mensaje que se les envió.
    
4. Evitar más ataques . Una vez gestionada la crisis, Dan, cuyos superiores ya han ordenado una auditoría interna, volverá al subcontratista sobre la insuficiencia de sus medidas de seguridad y solicitará que se refuercen en vista de los riesgos.

¿Cómo se puede limitar este riesgo?

 Como responsable del tratamiento de datos, imponga medidas de seguridad y auditorías periódicas a sus subcontratistas en sus contratos.

 No permitir compartir cuentas o contraseñas dentro de un equipo: cada usuario debe tener una cuenta personal , esto es necesario en caso de un ataque para poder rastrear el progreso y saber dónde se inició el compromiso; Además, la venta de cuentas por parte de los empleados es una realidad, una cuenta personal limita este riesgo.

 Asegúrese de que se implemente un registro detallado del acceso y las acciones en todas las aplicaciones.

 Analizar proactivamente los registros generados para detectar eventos sospechosos y así poder procesarlos lo más rápido posible. Informe a sus clientes sobre las medidas de seguridad implementadas.

 Evite la posibilidad de acceso malicioso a herramientas desde Internet. Imponer el uso de una VPN y autenticación multifactor para el acceso remoto.

 No permitir a los usuarios, excepto para roles bien definidos para los que es una absoluta necesidad, la capacidad de descargar todos los datos: limitar esta capacidad tanto en términos del alcance de los derechos de acceso como en la frecuencia y tamaño de las solicitudes.

 Implementar una fuerte segregación entre diferentes bases de datos, de clientes o de otro tipo, y realizar auditorías sobre este punto.

https://www.cnil.fr/fr/compromission-donnees-chez-un-sous-traitant-quels-risques