El mayor operador de cruceros del mundo, Carnival Corporation,
ha confirmado oficialmente
un exhaustivo incidente de ciberseguridad que ha comprometido la información
personal de casi seis millones de clientes en todo el mundo.
Según las declaraciones regulatorias presentadas ante las autoridades
estatales,
incluida la Oficina del Fiscal General de Maine, la brecha ha expuesto
datos altamente sensibles pertenecientes a 5,995,277 personas. El gigante corporativo, que opera una enorme flota global a través de
marcas emblemáticas como Carnival Cruise Line, Princess Cruises, Holland
America Line y Seabourn, se encuentra actualmente trabajando contrarreloj para
notificar a los pasajeros afectados
y mitigar una oleada de riesgos secundarios de robo de identidad.
El compromiso de seguridad comenzó presuntamente cuando un actor de amenazas
digitales lanzó una campaña de ingeniería social altamente dirigida contra
miembros del personal de Carnival.
El 14 de abril, una sola cuenta de empleado fue manipulada con éxito, lo
que permitió al adversario externo eludir las defensas perimetrales y
establecer un punto de apoyo digital dentro de un segmento restringido de
los sistemas informáticos internos de la empresa.
Para el 22 de abril, los investigadores descubrieron que el atacante había
logrado exfiltrar y copiar de forma agresiva enormes volúmenes de archivos
corporativos antes de que los equipos de seguridad pudieran cortar por
completo el acceso no autorizado.
Aunque el conglomerado de vacaciones no nombró explícitamente a los
cibercriminales detrás de la intrusión en la red, el conocido sindicato de
extorsión conocido como
ShinyHunters se atribuyó
públicamente la responsabilidad del ciberataque.
Posteriormente,
el grupo publicó un enorme conjunto de datos que contenía aproximadamente
8.7 millones de registros en su repositorio de la dark web, después de que un aparente intento de extorsión no lograra obtener un pago
corporativo.
Un análisis forense de la base de datos filtrada indica que
la asombrosa cifra de 7.5 millones de cuentas pertenecían específicamente
al programa de recompensas por fidelidad Mariner Society,
operado por Holland America Line, lo que demuestra que los delincuentes
recolectaron intensamente documentación de viajeros frecuentes.
Los puntos de datos específicos robados por el grupo de extorsión digital
varían según el pasajero, pero el alcance de la documentación comprometida
resulta profundamente preocupante para los analistas de riesgo corporativo.
En comunicados corporativos y avisos sustitutivos, Carnival confirmó que
los archivos robados contienen información de identificación personal (PII)
exhaustiva, que incluye nombres completos de clientes, direcciones físicas
residenciales, números de teléfono de contacto y direcciones de correo
electrónico.
Lo que es más alarmante, los actores de amenazas descargaron con éxito
archivos que contenían fechas de nacimiento, números internos de seguimiento
de programas de fidelidad y documentos críticos de identificación emitida por
el gobierno,
incluidos detalles de licencias de conducir y números de pasaporte.
El servicio de notificación de filtraciones de datos
Have I Been Pwned analizó los datos filtrados
por la banda de extorsionadores y afirmó que la filtración expuso los nombres,
fechas de nacimiento, direcciones de correo electrónico, géneros, ubicaciones
geográficas y detalles del programa de fidelización de las personas afectadas.
Inmediatamente después de descubrirse la filtración, la unidad de respuesta a
incidentes empresariales de Carnival se movilizó junto con expertos en
ciberseguridad externos para expulsar a los actores de amenazas del entorno y
evaluar la totalidad de los daños operativos. La compañía de cruceros ha
declarado que desde entonces ha implementado controles de monitoreo mejorados
y ha reforzado sus protocolos de autenticación para protegerse contra futuros
exploits de infraestructura centrados en el factor humano.
A partir de finales de mayo, la corporación inició una campaña masiva de
notificación electrónica para informar formalmente a los viajeros afectados
sobre la exposición de sus credenciales y delinear protocolos de remediación
de protección.
Para proteger a los viajeros comprometidos de campañas de phishing dirigidas y
el posterior fraude financiero, Carnival está proporcionando a las personas
afectadas una suscripción gratuita de 24 meses a la plataforma de resolución
de fraudes y monitoreo de crédito
MyTrueIdentity de TransUnion.
Los analistas independientes de ciberseguridad advierten que las filtraciones
de datos en la industria de viajes son excepcionalmente peligrosas debido a
que los actores de amenazas pueden utilizar historiales de viaje explícitos,
clasificaciones de fidelidad y detalles de pasaportes para diseñar señuelos
engañosos hiperrealistas. En el futuro, se espera que los reguladores de
múltiples jurisdicciones examinen de cerca las prácticas de retención de datos
de la línea de cruceros y los fallos previos de seguridad en su
infraestructura, especialmente dados los antecedentes de Carnival con
incidentes de seguridad de datos anteriores.
Fuente:
BC