Una popular incursión norteamericana en 1958 vio a siete jóvenes agentes domésticos romper una red municipal de infraestructura de aguas residuales, propiedad y operada por el estado de Maine, utilizando documentos copiados y tecnología cruda para llegar a sus rincones más recónditos. Allí llevaron a cabo una guerra biológica, erradicando una especie en peligro de extinción.
(Oh, no querías decir Stephen King cuando dijiste “¿Infracción de seguridad de TI?”)
Tiendo a medir estos incidentes por consecuencias a largo plazo, en lugar de estadísticas puramente numéricas / financieras. A veces los números y las consecuencias se alinean, pero no siempre; existe cierta subjetividad.
- ¿Cuán seriamente detrás está nuestra tecnología de seguridad cibernética de la que dependen nuestras agencias gubernamentales?
- ¿Cuál es el mejor software antivirus para una PC de juegos?
- ¿Cómo se usa la ingeniería social como táctica de piratería?
- Cómo crear una carpeta protegida por contraseña en Windows 7
- ¿Cuáles son las universidades de EE. UU. Que ofrecen MS en ciberseguridad / seguridad de Internet con un promedio de GPA y puntaje GRE?
- Los recientes hacks de correo electrónico de Yahoo comprometieron ~ 1 mil millones de credenciales de cuenta de usuario. No todas estas eran cuentas activas, por supuesto, pero, dado que es razonable suponer que algunos (¿muchos?) De estos usuarios estaban reutilizando sus contraseñas en otros sitios (Gmail, Facebook, etc.), es un gran problema. Este ataque supuestamente comenzó a través de los piratas informáticos rusos (y sus aliados estadounidenses) phishing a los empleados administrativos de Yahoo en 2014, enviando correos electrónicos cargados de malware hasta que al menos un administrador de sistemas privilegiado finalmente hizo clic en el enlace.
- Sony Pictures (estudio de cine) sufrió una violación en 2014, aparentemente por actores afiliados a Corea. Los detalles (sin fundamento) sugieren que dichos actores obtuvieron acceso físico al edificio de oficinas de Sony (puerta abierta, recepcionista ausente, estaciones de trabajo de empleados desatendidos, incluidas las computadoras del personal de seguridad, hasta la oficina a puertas cerradas del vicepresidente de Sony InfoSec), robaron una credencial de administrador privilegiada de una de estas estaciones de trabajo (posiblemente Post-It u otra información de fácil acceso), luego la usó para acceder e infectar colateralmente las computadoras Sony con malware. Los daños estimados aquí llegaron a las decenas de millones, incluidas las pérdidas de taquilla de $ 40M a $ 70M de The Interview (2014), las relaciones dañadas entre los ejecutivos de Sony y Angelina Jolie (calificada como “una mocosa malcriada con un talento mínimo” presidente Scott Rudin), dañó las relaciones entre los ejecutivos de Sony y el inversionista Dan Loeb (denominado “un imbécil”), la revelación de la supuesta infidelidad y dificultades de flujo de efectivo de Aaron Sorkin por parte de la copresidenta Amy Pascal, la revelación del estado de VIH de Charlie Sheen, etc. Ciertas debilidades, incluidas las contraseñas sin cifrar que se guardan en los documentos de Microsoft Word, se habían observado previamente en las auditorías de seguridad de 2007 y 2013, sin reconocimiento ni mitigación.
- AshleyMadison y la corporación matriz / afiliada Avid Life Media sufrieron una fuga del contenido interno de la base de datos (aparentemente de un “empleado interno malicioso” o un ex contratista externo), que reveló 37 millones de suscriptores y refutó las afirmaciones de AshleyMadison de que las cuentas de usuario eran ‘eliminado permanentemente’ al final de la suscripción. Al menos un acuerdo legal de $ 12M resultó de este hack, por no hablar de negocios perdidos, un puñado de suicidios de usuarios después de la exposición, y la posibilidad de un peligro futuro en territorios como Arabia Saudita, donde la prueba de adulterio puede anunciar una sentencia de muerte bajo Ley de Sharia.
- Por último, aunque los daños financieros son difíciles de determinar, creo que el ataque de seguridad industrial StuxNet (aparentemente realizado por actores occidentales en operaciones de refinamiento de uranio iraní) ciertamente retrasó varios años al menos los programas de energía y armas potenciales de un país.
Las infracciones de Equifax y Office of Personnel Management (OPM) también fueron grandes (y bastante embarazosas en el caso de muchos titulares de autorizaciones de seguridad), pero quizás no tan cuantitativamente ‘tangibles’. Como se mencionó anteriormente, parte de esta evaluación de daños se vuelve borrosa.