¿Qué es más terrible que perder dinero? Datos por supuesto! Fuga de datos en el campo Web3, su información ha sido vendida en la dark web durante 10 días...
¿Qué medidas debemos tomar para evitar la fuga de datos?
Escrito por: Certik
En la sociedad actual, ya sea que trabajemos o vivamos, Internet ha sido durante mucho tiempo inseparable de la vida de las personas. No hace falta que lleves la cartera, pero sí el móvil cuando salgas, no hay tarjeta física para pagar, e incluso los mendigos callejeros han empezado a utilizar Internet para transferir y cobrar dinero con códigos QR.
No es difícil imaginar que la mayoría de las amenazas que enfrentan actualmente las personas, las empresas, las organizaciones y sus clientes en realidad provienen de vulnerabilidades y ataques de red. Hoy en día, la privacidad de los datos y la privacidad personal que preocupan a las personas se han vuelto extremadamente importantes. Hay innumerables casos de pérdida de datos confidenciales debido a vulnerabilidades cada año.
Se han producido numerosos incidentes de seguridad importantes en la historia de Web3.0, que van desde la pérdida de claves privadas de intercambios centralizados hasta el robo de datos personales de los inversores. Y esos datos podrían existir durante años en foros de piratería en línea y mercados de darknet, lo que significa que una violación de datos pondría en riesgo a los usuarios afectados durante mucho tiempo.
El análisis de CertiK analizó 74 incidentes de seguridad que ocurrieron en entidades centralizadas de Web 3.0. 23 de estos incidentes resultaron en un alto riesgo de pérdida de datos a largo plazo, y de esos 23 incidentes, se descubrió que 10 paquetes aún estaban disponibles para su compra en los foros de darknet.
Una serie de campañas de aplicación de la ley contra los foros de piratas informáticos pueden evitar que se extraigan ciertos datos, pero después de todo, tales medidas son solo un paliativo.
Este artículo lo guiará a través de: la clasificación de los incidentes de fuga de datos Web3.0 y qué medidas debemos tomar para proteger la seguridad de nuestros datos.
fondo
La piratería, los exploits, el ransomware y todas las amenazas de ciberseguridad están aumentando en tamaño y gravedad. El ecosistema Web 3.0 es único en el sentido de que proporciona a los actores maliciosos una variedad de vectores de ataque que no se encuentran en otras tecnologías, incluidas vulnerabilidades en contratos inteligentes y técnicas novedosas de phishing.
Sin embargo, la historia de los incidentes de seguridad de la Web 3.0 está estrechamente relacionada con la situación en otras industrias. Las áreas que no son Web 3.0 se pierden los mismos tipos de agujeros de seguridad que los proyectos centralizados y las empresas no logran abordar.
Queríamos echar un vistazo más de cerca al historial de incidentes de ciberseguridad en comparación con los objetivos de la Web 3.0 y evaluar si los incidentes pasados representan un riesgo continuo para los miembros de la comunidad en la actualidad.
Para hacer esto, se requiere un análisis cuidadoso de cómo los incidentes de seguridad en este informe difieren de las vulnerabilidades causadas por la explotación de protocolos de contratos inteligentes.
Hemos estudiado muchos incidentes contra empresas Web3.0 desde 2011 y se pueden dividir aproximadamente en dos categorías:
Protocolo de Explotación Maliciosa: Eventos que utilizan códigos de contratos inteligentes para obtener beneficios económicos
Vulnerabilidad: un incidente en el que un atacante compromete la red interna de una organización objetivo y utiliza los privilegios obtenidos para robar datos o fondos de la empresa.
Hay varias diferencias importantes entre las dos categorías en términos de riesgo a corto y largo plazo.
Los exploits maliciosos de protocolo ocurren dentro de un período de tiempo definido, comenzando cuando el atacante ejecuta el exploit y finalizando cuando agota todos los fondos disponibles, se queda sin combustible o hace que el proyecto de destino finalice. Algunos de estos eventos pueden durar horas o días, y las negociaciones posteriores al evento amplían aún más este período de tiempo, y también ha habido casos de proyectos que se cierran inmediatamente después. La clave, sin embargo, es que estos ataques tienen nodos iniciales y finales claros.
Las vulnerabilidades, por el contrario, califican como incidentes sostenidos (el atacante obtiene acceso a la red y permanece allí durante mucho tiempo). Una brecha generalmente se define como la exfiltración de datos que se explotan en un ataque o que posteriormente se venden en la red oscura o en foros en línea.
Las infracciones de la red también pueden provocar graves pérdidas financieras. La mayoría de las organizaciones Web 3.0 son entidades financieras con un alto flujo de dinero, lo que las convierte en un objetivo natural para los piratas informáticos.
Las violaciones de datos pueden ser devastadoras y el riesgo puede durar años, especialmente si se pierde información de identificación personal (PII) durante la violación.
Con esto en mente, recopilamos una muestra de 74 incidentes pasados que clasificamos como infracciones que representan un riesgo continuo para los miembros de la comunidad (incluye solo incidentes en los que se comprometió la red interna de una empresa y no incluye datos sobre la explotación del protocolo) .
Creemos que es necesario distinguir entre incidentes en los que se pierden datos confidenciales e incidentes en los que solo se pierden fondos. Para evaluar mejor el riesgo continuo de estas infracciones, destacaremos las infracciones cuyos datos aún están disponibles para la venta o disponibles gratuitamente en la darknet u otras áreas de la clearnet, y ofreceremos nuestras opiniones sobre la accesibilidad de estas plataformas.
Violación de datos y pérdida de fondos
Para evaluar el riesgo continuo asociado con estos eventos, los agrupamos en los siguientes eventos definidos:
Eventos de pérdida de datos que son teóricamente recuperables, incluidas PII y bases de datos internas, etc.
En caso de pérdida de fondos o datos y los datos ya no se pueden recuperar.
La segunda categoría de incidentes de pérdida de datos irrecuperables consiste principalmente en infracciones que solo resultan en la pérdida de fondos o claves privadas. En tales casos, los fondos perdidos suelen ser irrecuperables.
Eventos inusuales incluyen aquellos en los que los datos robados nunca se divulgaron, devolvieron o usaron para otros fines. Por ejemplo, en junio de 2020, el intercambio centralizado japonés Coincheck fue atacado y la PII de más de 200 clientes cayó en manos de los atacantes. Los atacantes comprometieron la red de Coincheck y luego enviaron correos electrónicos de phishing desde la dirección de correo electrónico interna de la empresa, exigiendo PII de los clientes. Pero no se perdió ninguna base de datos específica en este incidente, y los datos perdidos fueron solo los de los clientes que respondieron a los correos electrónicos.
En otro incidente en junio de 2020, el intercambio centralizado canadiense Coinsquare también experimentó una brecha en la que se filtraron y perdieron 5000 direcciones de correo electrónico, números de teléfono y domicilios particulares.
Después de ir y venir entre Coinsquare, los atacantes dijeron que usarían los datos en ataques de intercambio de SIM, pero que no intentarían venderlos para "pescar durante mucho tiempo". Este tipo de evento también se clasifica como un segundo tipo de evento irreparable.
De los 74 incidentes que identificamos, 23 podrían clasificarse como incidentes de datos recuperables, o aproximadamente el 31 %. Los 51 incidentes restantes fueron los incidentes anómalos descritos anteriormente o aquellos que simplemente resultaron en una pérdida de fondos.
Gráfico: Datos recuperables vs. no recuperables para eventos ocurridos entre 2011 y 2023 (Fuente: CertiK)
Podemos ver algunos puntos:
① Los eventos de datos que es muy probable que se recuperen o recuperen han aumentado significativamente después de 2019. Esto es directamente proporcional al aumento de los ataques de piratería y los incidentes de fuga de datos en varias industrias durante la epidemia.
② El crecimiento de la ayuda gubernamental durante este período, parte de la cual se inyectó en el ecosistema Web3.0, junto con el mercado alcista en 2021, puede brindar a los atacantes más oportunidades para vender ransomware y datos.
**¿Adónde fueron los datos robados? **
Red Oscura y Telegram
Los datos perdidos a menudo terminan vendiéndose o descargándose en la web oscura (sitios .onion) o en la red clara. Si se supone que los datos tienen algún valor económico (PII y otros datos utilizados para el fraude), aparecerán con frecuencia en los mercados de la red oscura o incluso en los canales de Telegram. Si las demandas del atacante (ransomware) no se cumplen, los datos simplemente se descargan en sitios de pegado o foros de piratas informáticos.
**El lugar donde terminan los datos determina el riesgo a largo plazo que representa para su propietario original. **
En comparación con los datos que solo se pueden comprar en la dark web, los datos descargados en foros de piratas informáticos a muy bajo costo o sin costo tienen un mayor riesgo de fuga.
La accesibilidad continua de dichos sitios también "ayuda" al riesgo a largo plazo de violación de datos de una víctima. A continuación, echamos un vistazo más profundo a las ventas de datos de la Web 3.0 que se encuentran en estos lugares.
Foro en línea
A lo largo de los años, han surgido foros de piratería en línea. Dado el crecimiento de los incidentes de datos recuperables después de 2019, solo unos pocos foros merecen ser considerados casos de estudio en este contexto. Estos foros incluyen el Foro Raid, el Foro Breach y el Foro Dread.
Múltiples infracciones han elegido el foro Raid como uno de los foros preferidos para descargar y vender datos infringidos. El Raid Forum comenzó en 2015 y se ha estado ejecutando en la red clara durante años. Sin embargo, en 2022, las fuerzas del orden de EE. UU. en cooperación con Europol confiscaron el dominio Raid Forum.
Imagen: aviso de eliminación de las fuerzas del orden público de EE. UU. y Europa en el sitio web de Raid Forum
Fundado en 2015, el Dread Forum parece estar activo hasta finales de 2022, aunque hay numerosos indicios en las redes sociales de que también puede haber desaparecido. Intentamos acceder a las versiones darknet (.onion) e IP2 de este foro, pero parece que también están caídas.
El foro de Incumplimiento se puso en marcha inmediatamente después del cierre del foro de Incursión.
Los foros de Incumplimiento brindan un lugar razonable para quedarse a los usuarios que fueron "desplazados" por el cierre de los foros de Incursión.
Tiene una interfaz similar a Raid Forum, un sistema de puntuación de reputación de miembros y alta actividad, con usuarios que alcanzan el 60 % de la base de usuarios original de Raid Forum (aproximadamente 550 000 usuarios). Solo un año después, en marzo de 2023, el FBI arrestó a Conor Brian Fitzpatrick, quien dirigía el foro Breach, y luego de una ola de drama interno sobre la redistribución del sitio, el sitio colapsó.
Menos de una semana después de que colapsara el foro de Breach, apareció otro reemplazo, supuestamente dirigido por un autoproclamado hacker anónimo llamado Pirata (@_pirate18). Pero solo tiene 161 miembros, lo que significa que esta vez el reemplazo no logró absorber a los antiguos jugadores del foro.
Muchos otros foros aparecieron durante esta pausa (las últimas semanas de marzo). Algunos de estos fueron eliminados como foros típicamente ofensivos, por lo que es razonable suponer que el resto podría ser un enmascaramiento de las fuerzas del orden.
Imagen: Lista de foros de VX-Underground después del cierre del foro de Breach (Fuente: Twitter)
Solo podemos confirmar que existen algunos datos de Web3.0 en uno de los foros.
Según los informes, el foro ARES absorbió algo de actividad de otros foros cerrados, pero no está claro cuánto. El foro, del que se dice que está afiliado a grupos de ransomware y otros actores maliciosos, también ejecuta un canal público de Telegram que publicita ventas de datos en su canal de ventas VIP bloqueado. El canal se lanzó el 6 de marzo y publicó cientos de anuncios (incluidas publicaciones en dos bases de datos centralizadas relacionadas con el intercambio).
Imagen: anuncio del canal de datos de intercambio centralizado de Telegram en el Foro ARES (Fuente: Telegram)
En general, la comunidad de foros de piratería y volcado de datos está funcionando actualmente de una manera bastante caótica. Sin un reemplazo claro para los foros tradicionales y las agencias internacionales encargadas de hacer cumplir la ley que intensifican su represión contra estos grupos, es casi seguro que los foros no serán el sitio de ninguna violación importante de datos (incluida la Web 3.0) en el corto plazo Ruta preferida.
Dark Web: violaciones de datos en sitios .onion
Los mercados y foros de la web oscura han sido durante mucho tiempo lugares donde las personas descargan o venden sus datos.
Estos ecosistemas también han enfrentado medidas enérgicas por parte de las fuerzas del orden público, aunque esas medidas enérgicas han sido más en los mercados que facilitan la venta de drogas. Dicho esto, incluso en los mercados menos conocidos, las violaciones de datos parecen estar ocurriendo con una frecuencia muy alta, o al menos se anuncian. La diferencia ahora es marcadamente diferente a los foros en línea, que también almacenan datos pero se han cerrado en general.
Imagen: Datos de clientes del libro mayor a la venta en un mercado de darknet (Fuente: Digital Thrift Shop)
En resumen, 23 de las 74 infracciones en nuestra muestra de infracciones de datos identificadas involucraron datos que tenían alguna posibilidad de ser recuperados. De estos 23, pudimos encontrar 10 anuncios activos de venta de datos (43%). Estas muestras están resaltadas en verde en nuestro gráfico anterior:
Gráfico: Instancias confirmadas de datos filtrados que se venden en mercados de darknet resaltados en verde (Fuente: CertiK)
El aumento de las ventas de datos pagados en este gráfico indica varias cosas. En primer lugar, no tenemos acceso a las fuentes de datos de ninguna infracción que haya ocurrido después de 2021.
Según la naturaleza del objetivo de 2022, existe una posibilidad razonable de que los datos hayan aparecido en un foro que ya no existe.
Sin embargo, esto es difícil de probar, especialmente cuando estos conjuntos de datos no aparecen en ninguno de los foros que reemplazarían a Raid y Breached. En segundo lugar, estos conjuntos de datos también están notablemente ausentes de cualquiera de los mercados de la red oscura que podemos ver desde 2019 y antes, probablemente porque los mercados de los que obtuvimos estos datos son muy antiguos y poco conocidos. No podemos evaluar si estos datos todavía están disponibles a través de estos proveedores, pero estos anuncios sí.
**¿Son estas filtraciones de datos un riesgo a largo plazo? **
Es difícil tratar de cuantificar el riesgo a largo plazo, pero al menos puede comparar el riesgo de pérdida de datos con los eventos no relacionados con datos en esta muestra. Tenga en cuenta que podemos clasificar los riesgos de eventos de incumplimiento que solo resultan en pérdidas financieras directas como de menor riesgo porque:
La pérdida es inmediata, podemos medir el impacto en términos de moneda fiduciaria o Web3.0 perdida
Todos los datos perdidos durante este proceso son reemplazables. En caso de compromiso, las claves privadas, las contraseñas y los puntos de acceso a la red privilegiados deben cambiarse para resolver el problema.
Las violaciones de seguridad que pierden datos confidenciales, especialmente datos de clientes, presentan un mayor riesgo a largo plazo
Gran parte de estos datos se venden o están disponibles gratuitamente en la web clara o oscura, lo que amplía su disponibilidad a largo plazo.
Los puntos de datos personales de los clientes, es decir, números de teléfono, nombre/apellidos, direcciones y datos transaccionales, son difíciles o imposibles de modificar. Entonces, incluso si alguien cambia su información personal como resultado de una violación, todos los datos de otras personas involucradas en la violación aún están en riesgo.
El impacto de esta brecha es difícil o imposible de medir. Dependiendo de los datos perdidos, la víctima puede o no haber sido objeto de múltiples estafas.
Encontramos datos a la venta en una infracción en 2014. Este punto de datos en particular es una prueba más de la dificultad de medir el riesgo a largo plazo. El hackeo de 2014 que atacó al ya desaparecido intercambio de criptomonedas BTC-E, que fue incautado por las fuerzas del orden de los EE. UU. en 2017, es en realidad un riesgo mucho menor asociado con la pérdida de datos que otros.
Sin embargo, para ser claros, el riesgo continúa de que estos datos puedan coincidir con los datos de infracciones más recientes, lo que aumenta el riesgo a largo plazo de las personas que participan en la Web 3.0 durante este período.
Mirando el espacio en su conjunto, los datos perdidos después de 2019 (especialmente los datos que todavía están disponibles para la venta en los mercados de la red oscura) muy probablemente representen el mayor riesgo continuo a largo plazo. A partir de 2022, es casi seguro que los afectados enfrenten un riesgo significativo de que sus datos puedan usarse para actividades fraudulentas (incluso si no se pueden ubicar físicamente). A pesar del cierre de muchos foros en línea, debemos asumir que todos los datos perdidos, especialmente en filtraciones de datos recientes, probablemente todavía estén disponibles en algún lugar y puedan reaparecer en cualquier momento.
Escribir al final
La realidad es que los agujeros de seguridad no se pueden eliminar al 100%. Cuando los datos son almacenados y procesados por una entidad centralizada, la mayoría de los usuarios afectados por una violación de datos tienen medios limitados de remediación.
Sin embargo, podemos reducir el riesgo de exposición al limitar el uso de servicios centralizados, incluidos los intercambios centralizados. Las personas también deben usar la autenticación de dos factores siempre que sea posible para ayudar a prevenir la actividad no deseada de la billetera de intercambio o el uso de PII para acceder o modificar los detalles de la cuenta.
Dependiendo de la naturaleza de la infracción, incluso podríamos considerar intentar cambiar parte de la información expuesta en la infracción, como direcciones de correo electrónico o números de teléfono.
Y en una violación de datos de la Web 3.0, si tiene la intención de operar de forma anónima, su identidad enfrentará una amenaza adicional de divulgación.
Hay otros pasos que las personas pueden tomar para proteger los datos y las inversiones. Como reducir la inversión y el riesgo financiero mediante la distribución de activos en monederos de autocustodia y monederos duros.
Por supuesto, los datos también pueden ser protegidos por:
Reducir el número de instituciones de inversión o intercambios Web3 centralizados que comparten sus datos personales con usted
Multiplataforma No utilices contraseñas repetidas
Habilite la autenticación de dos factores en todas las cuentas
Supervise los sitios que informan violaciones de datos que le indicarán si su dirección de correo electrónico estuvo involucrada en una violación
Use Servicios de monitoreo de crédito para monitorear intentos de robo de identidad y fraude bancario
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿Qué es más terrible que perder dinero? Datos por supuesto! Fuga de datos en el campo Web3, su información ha sido vendida en la dark web durante 10 días...
Escrito por: Certik
En la sociedad actual, ya sea que trabajemos o vivamos, Internet ha sido durante mucho tiempo inseparable de la vida de las personas. No hace falta que lleves la cartera, pero sí el móvil cuando salgas, no hay tarjeta física para pagar, e incluso los mendigos callejeros han empezado a utilizar Internet para transferir y cobrar dinero con códigos QR.
No es difícil imaginar que la mayoría de las amenazas que enfrentan actualmente las personas, las empresas, las organizaciones y sus clientes en realidad provienen de vulnerabilidades y ataques de red. Hoy en día, la privacidad de los datos y la privacidad personal que preocupan a las personas se han vuelto extremadamente importantes. Hay innumerables casos de pérdida de datos confidenciales debido a vulnerabilidades cada año.
Se han producido numerosos incidentes de seguridad importantes en la historia de Web3.0, que van desde la pérdida de claves privadas de intercambios centralizados hasta el robo de datos personales de los inversores. Y esos datos podrían existir durante años en foros de piratería en línea y mercados de darknet, lo que significa que una violación de datos pondría en riesgo a los usuarios afectados durante mucho tiempo.
El análisis de CertiK analizó 74 incidentes de seguridad que ocurrieron en entidades centralizadas de Web 3.0. 23 de estos incidentes resultaron en un alto riesgo de pérdida de datos a largo plazo, y de esos 23 incidentes, se descubrió que 10 paquetes aún estaban disponibles para su compra en los foros de darknet.
Una serie de campañas de aplicación de la ley contra los foros de piratas informáticos pueden evitar que se extraigan ciertos datos, pero después de todo, tales medidas son solo un paliativo.
Este artículo lo guiará a través de: la clasificación de los incidentes de fuga de datos Web3.0 y qué medidas debemos tomar para proteger la seguridad de nuestros datos.
fondo
La piratería, los exploits, el ransomware y todas las amenazas de ciberseguridad están aumentando en tamaño y gravedad. El ecosistema Web 3.0 es único en el sentido de que proporciona a los actores maliciosos una variedad de vectores de ataque que no se encuentran en otras tecnologías, incluidas vulnerabilidades en contratos inteligentes y técnicas novedosas de phishing.
Sin embargo, la historia de los incidentes de seguridad de la Web 3.0 está estrechamente relacionada con la situación en otras industrias. Las áreas que no son Web 3.0 se pierden los mismos tipos de agujeros de seguridad que los proyectos centralizados y las empresas no logran abordar.
Queríamos echar un vistazo más de cerca al historial de incidentes de ciberseguridad en comparación con los objetivos de la Web 3.0 y evaluar si los incidentes pasados representan un riesgo continuo para los miembros de la comunidad en la actualidad.
Para hacer esto, se requiere un análisis cuidadoso de cómo los incidentes de seguridad en este informe difieren de las vulnerabilidades causadas por la explotación de protocolos de contratos inteligentes.
Hemos estudiado muchos incidentes contra empresas Web3.0 desde 2011 y se pueden dividir aproximadamente en dos categorías:
Hay varias diferencias importantes entre las dos categorías en términos de riesgo a corto y largo plazo.
Los exploits maliciosos de protocolo ocurren dentro de un período de tiempo definido, comenzando cuando el atacante ejecuta el exploit y finalizando cuando agota todos los fondos disponibles, se queda sin combustible o hace que el proyecto de destino finalice. Algunos de estos eventos pueden durar horas o días, y las negociaciones posteriores al evento amplían aún más este período de tiempo, y también ha habido casos de proyectos que se cierran inmediatamente después. La clave, sin embargo, es que estos ataques tienen nodos iniciales y finales claros.
Las vulnerabilidades, por el contrario, califican como incidentes sostenidos (el atacante obtiene acceso a la red y permanece allí durante mucho tiempo). Una brecha generalmente se define como la exfiltración de datos que se explotan en un ataque o que posteriormente se venden en la red oscura o en foros en línea.
Las infracciones de la red también pueden provocar graves pérdidas financieras. La mayoría de las organizaciones Web 3.0 son entidades financieras con un alto flujo de dinero, lo que las convierte en un objetivo natural para los piratas informáticos.
Las violaciones de datos pueden ser devastadoras y el riesgo puede durar años, especialmente si se pierde información de identificación personal (PII) durante la violación.
Con esto en mente, recopilamos una muestra de 74 incidentes pasados que clasificamos como infracciones que representan un riesgo continuo para los miembros de la comunidad (incluye solo incidentes en los que se comprometió la red interna de una empresa y no incluye datos sobre la explotación del protocolo) .
Creemos que es necesario distinguir entre incidentes en los que se pierden datos confidenciales e incidentes en los que solo se pierden fondos. Para evaluar mejor el riesgo continuo de estas infracciones, destacaremos las infracciones cuyos datos aún están disponibles para la venta o disponibles gratuitamente en la darknet u otras áreas de la clearnet, y ofreceremos nuestras opiniones sobre la accesibilidad de estas plataformas.
Violación de datos y pérdida de fondos
Para evaluar el riesgo continuo asociado con estos eventos, los agrupamos en los siguientes eventos definidos:
La segunda categoría de incidentes de pérdida de datos irrecuperables consiste principalmente en infracciones que solo resultan en la pérdida de fondos o claves privadas. En tales casos, los fondos perdidos suelen ser irrecuperables.
Eventos inusuales incluyen aquellos en los que los datos robados nunca se divulgaron, devolvieron o usaron para otros fines. Por ejemplo, en junio de 2020, el intercambio centralizado japonés Coincheck fue atacado y la PII de más de 200 clientes cayó en manos de los atacantes. Los atacantes comprometieron la red de Coincheck y luego enviaron correos electrónicos de phishing desde la dirección de correo electrónico interna de la empresa, exigiendo PII de los clientes. Pero no se perdió ninguna base de datos específica en este incidente, y los datos perdidos fueron solo los de los clientes que respondieron a los correos electrónicos.
En otro incidente en junio de 2020, el intercambio centralizado canadiense Coinsquare también experimentó una brecha en la que se filtraron y perdieron 5000 direcciones de correo electrónico, números de teléfono y domicilios particulares.
Después de ir y venir entre Coinsquare, los atacantes dijeron que usarían los datos en ataques de intercambio de SIM, pero que no intentarían venderlos para "pescar durante mucho tiempo". Este tipo de evento también se clasifica como un segundo tipo de evento irreparable.
De los 74 incidentes que identificamos, 23 podrían clasificarse como incidentes de datos recuperables, o aproximadamente el 31 %. Los 51 incidentes restantes fueron los incidentes anómalos descritos anteriormente o aquellos que simplemente resultaron en una pérdida de fondos.
Gráfico: Datos recuperables vs. no recuperables para eventos ocurridos entre 2011 y 2023 (Fuente: CertiK)
Podemos ver algunos puntos:
① Los eventos de datos que es muy probable que se recuperen o recuperen han aumentado significativamente después de 2019. Esto es directamente proporcional al aumento de los ataques de piratería y los incidentes de fuga de datos en varias industrias durante la epidemia.
② El crecimiento de la ayuda gubernamental durante este período, parte de la cual se inyectó en el ecosistema Web3.0, junto con el mercado alcista en 2021, puede brindar a los atacantes más oportunidades para vender ransomware y datos.
**¿Adónde fueron los datos robados? **
Red Oscura y Telegram
Los datos perdidos a menudo terminan vendiéndose o descargándose en la web oscura (sitios .onion) o en la red clara. Si se supone que los datos tienen algún valor económico (PII y otros datos utilizados para el fraude), aparecerán con frecuencia en los mercados de la red oscura o incluso en los canales de Telegram. Si las demandas del atacante (ransomware) no se cumplen, los datos simplemente se descargan en sitios de pegado o foros de piratas informáticos.
**El lugar donde terminan los datos determina el riesgo a largo plazo que representa para su propietario original. **
En comparación con los datos que solo se pueden comprar en la dark web, los datos descargados en foros de piratas informáticos a muy bajo costo o sin costo tienen un mayor riesgo de fuga.
La accesibilidad continua de dichos sitios también "ayuda" al riesgo a largo plazo de violación de datos de una víctima. A continuación, echamos un vistazo más profundo a las ventas de datos de la Web 3.0 que se encuentran en estos lugares.
Foro en línea
A lo largo de los años, han surgido foros de piratería en línea. Dado el crecimiento de los incidentes de datos recuperables después de 2019, solo unos pocos foros merecen ser considerados casos de estudio en este contexto. Estos foros incluyen el Foro Raid, el Foro Breach y el Foro Dread.
Múltiples infracciones han elegido el foro Raid como uno de los foros preferidos para descargar y vender datos infringidos. El Raid Forum comenzó en 2015 y se ha estado ejecutando en la red clara durante años. Sin embargo, en 2022, las fuerzas del orden de EE. UU. en cooperación con Europol confiscaron el dominio Raid Forum.
Imagen: aviso de eliminación de las fuerzas del orden público de EE. UU. y Europa en el sitio web de Raid Forum
Fundado en 2015, el Dread Forum parece estar activo hasta finales de 2022, aunque hay numerosos indicios en las redes sociales de que también puede haber desaparecido. Intentamos acceder a las versiones darknet (.onion) e IP2 de este foro, pero parece que también están caídas.
El foro de Incumplimiento se puso en marcha inmediatamente después del cierre del foro de Incursión.
Los foros de Incumplimiento brindan un lugar razonable para quedarse a los usuarios que fueron "desplazados" por el cierre de los foros de Incursión.
Tiene una interfaz similar a Raid Forum, un sistema de puntuación de reputación de miembros y alta actividad, con usuarios que alcanzan el 60 % de la base de usuarios original de Raid Forum (aproximadamente 550 000 usuarios). Solo un año después, en marzo de 2023, el FBI arrestó a Conor Brian Fitzpatrick, quien dirigía el foro Breach, y luego de una ola de drama interno sobre la redistribución del sitio, el sitio colapsó.
Menos de una semana después de que colapsara el foro de Breach, apareció otro reemplazo, supuestamente dirigido por un autoproclamado hacker anónimo llamado Pirata (@_pirate18). Pero solo tiene 161 miembros, lo que significa que esta vez el reemplazo no logró absorber a los antiguos jugadores del foro.
Muchos otros foros aparecieron durante esta pausa (las últimas semanas de marzo). Algunos de estos fueron eliminados como foros típicamente ofensivos, por lo que es razonable suponer que el resto podría ser un enmascaramiento de las fuerzas del orden.
Imagen: Lista de foros de VX-Underground después del cierre del foro de Breach (Fuente: Twitter)
Solo podemos confirmar que existen algunos datos de Web3.0 en uno de los foros.
Según los informes, el foro ARES absorbió algo de actividad de otros foros cerrados, pero no está claro cuánto. El foro, del que se dice que está afiliado a grupos de ransomware y otros actores maliciosos, también ejecuta un canal público de Telegram que publicita ventas de datos en su canal de ventas VIP bloqueado. El canal se lanzó el 6 de marzo y publicó cientos de anuncios (incluidas publicaciones en dos bases de datos centralizadas relacionadas con el intercambio).
Imagen: anuncio del canal de datos de intercambio centralizado de Telegram en el Foro ARES (Fuente: Telegram)
En general, la comunidad de foros de piratería y volcado de datos está funcionando actualmente de una manera bastante caótica. Sin un reemplazo claro para los foros tradicionales y las agencias internacionales encargadas de hacer cumplir la ley que intensifican su represión contra estos grupos, es casi seguro que los foros no serán el sitio de ninguna violación importante de datos (incluida la Web 3.0) en el corto plazo Ruta preferida.
Dark Web: violaciones de datos en sitios .onion
Los mercados y foros de la web oscura han sido durante mucho tiempo lugares donde las personas descargan o venden sus datos.
Estos ecosistemas también han enfrentado medidas enérgicas por parte de las fuerzas del orden público, aunque esas medidas enérgicas han sido más en los mercados que facilitan la venta de drogas. Dicho esto, incluso en los mercados menos conocidos, las violaciones de datos parecen estar ocurriendo con una frecuencia muy alta, o al menos se anuncian. La diferencia ahora es marcadamente diferente a los foros en línea, que también almacenan datos pero se han cerrado en general.
Imagen: Datos de clientes del libro mayor a la venta en un mercado de darknet (Fuente: Digital Thrift Shop)
En resumen, 23 de las 74 infracciones en nuestra muestra de infracciones de datos identificadas involucraron datos que tenían alguna posibilidad de ser recuperados. De estos 23, pudimos encontrar 10 anuncios activos de venta de datos (43%). Estas muestras están resaltadas en verde en nuestro gráfico anterior:
El aumento de las ventas de datos pagados en este gráfico indica varias cosas. En primer lugar, no tenemos acceso a las fuentes de datos de ninguna infracción que haya ocurrido después de 2021.
Según la naturaleza del objetivo de 2022, existe una posibilidad razonable de que los datos hayan aparecido en un foro que ya no existe.
Sin embargo, esto es difícil de probar, especialmente cuando estos conjuntos de datos no aparecen en ninguno de los foros que reemplazarían a Raid y Breached. En segundo lugar, estos conjuntos de datos también están notablemente ausentes de cualquiera de los mercados de la red oscura que podemos ver desde 2019 y antes, probablemente porque los mercados de los que obtuvimos estos datos son muy antiguos y poco conocidos. No podemos evaluar si estos datos todavía están disponibles a través de estos proveedores, pero estos anuncios sí.
**¿Son estas filtraciones de datos un riesgo a largo plazo? **
Es difícil tratar de cuantificar el riesgo a largo plazo, pero al menos puede comparar el riesgo de pérdida de datos con los eventos no relacionados con datos en esta muestra. Tenga en cuenta que podemos clasificar los riesgos de eventos de incumplimiento que solo resultan en pérdidas financieras directas como de menor riesgo porque:
La pérdida es inmediata, podemos medir el impacto en términos de moneda fiduciaria o Web3.0 perdida
Todos los datos perdidos durante este proceso son reemplazables. En caso de compromiso, las claves privadas, las contraseñas y los puntos de acceso a la red privilegiados deben cambiarse para resolver el problema.
Las violaciones de seguridad que pierden datos confidenciales, especialmente datos de clientes, presentan un mayor riesgo a largo plazo
Gran parte de estos datos se venden o están disponibles gratuitamente en la web clara o oscura, lo que amplía su disponibilidad a largo plazo.
Los puntos de datos personales de los clientes, es decir, números de teléfono, nombre/apellidos, direcciones y datos transaccionales, son difíciles o imposibles de modificar. Entonces, incluso si alguien cambia su información personal como resultado de una violación, todos los datos de otras personas involucradas en la violación aún están en riesgo.
El impacto de esta brecha es difícil o imposible de medir. Dependiendo de los datos perdidos, la víctima puede o no haber sido objeto de múltiples estafas.
Encontramos datos a la venta en una infracción en 2014. Este punto de datos en particular es una prueba más de la dificultad de medir el riesgo a largo plazo. El hackeo de 2014 que atacó al ya desaparecido intercambio de criptomonedas BTC-E, que fue incautado por las fuerzas del orden de los EE. UU. en 2017, es en realidad un riesgo mucho menor asociado con la pérdida de datos que otros.
Sin embargo, para ser claros, el riesgo continúa de que estos datos puedan coincidir con los datos de infracciones más recientes, lo que aumenta el riesgo a largo plazo de las personas que participan en la Web 3.0 durante este período.
Mirando el espacio en su conjunto, los datos perdidos después de 2019 (especialmente los datos que todavía están disponibles para la venta en los mercados de la red oscura) muy probablemente representen el mayor riesgo continuo a largo plazo. A partir de 2022, es casi seguro que los afectados enfrenten un riesgo significativo de que sus datos puedan usarse para actividades fraudulentas (incluso si no se pueden ubicar físicamente). A pesar del cierre de muchos foros en línea, debemos asumir que todos los datos perdidos, especialmente en filtraciones de datos recientes, probablemente todavía estén disponibles en algún lugar y puedan reaparecer en cualquier momento.
Escribir al final
La realidad es que los agujeros de seguridad no se pueden eliminar al 100%. Cuando los datos son almacenados y procesados por una entidad centralizada, la mayoría de los usuarios afectados por una violación de datos tienen medios limitados de remediación.
Sin embargo, podemos reducir el riesgo de exposición al limitar el uso de servicios centralizados, incluidos los intercambios centralizados. Las personas también deben usar la autenticación de dos factores siempre que sea posible para ayudar a prevenir la actividad no deseada de la billetera de intercambio o el uso de PII para acceder o modificar los detalles de la cuenta.
Dependiendo de la naturaleza de la infracción, incluso podríamos considerar intentar cambiar parte de la información expuesta en la infracción, como direcciones de correo electrónico o números de teléfono.
Y en una violación de datos de la Web 3.0, si tiene la intención de operar de forma anónima, su identidad enfrentará una amenaza adicional de divulgación.
Hay otros pasos que las personas pueden tomar para proteger los datos y las inversiones. Como reducir la inversión y el riesgo financiero mediante la distribución de activos en monederos de autocustodia y monederos duros.
Por supuesto, los datos también pueden ser protegidos por: