Brechas en internet, cómo evitarlas

🔒 Brechas/robos de datos recientes y cómo protegerse

CIBERMURO.es

 

---

🎪En los últimos meses, varias empresas internacionales han sufrido graves robos de información. 

El caso más reciente es el de Asahi Group Holdings, fabricante de cervezas como Asahi, Peroni, Pilsner Urquell y Grolsch, que sufre un ataque del grupo de delincuentes/ransomware Qilin con la sustracción de aproximadamente 27 GB de archivos. 

PERO.. ¿cómo es posible esto?¿no hay medidas que eviten esto?... sí, claro, vamos a intentar hacer un pequeño resumen...

 

A partir de este incidente se analiza cómo ocurren estos ataques y qué medidas puede aplicar cualquier organización para prevenirlos.

1️⃣ Últimos robos de datos relevantes (2024–2025)

• Asahi (2025): el grupo Qilin afirma haber exfiltrado unos 27 GB de información confidencial, afectando la operatividad de varias plantas japonesas y generando pérdidas millonarias. La empresa confirma una “transferencia no autorizada de datos” y trabaja para restablecer la producción (Reuters, 2025).
• Salesforce / BreachForums (2025): el FBI cierra el portal de filtraciones donde ciberdelincuentes publicaban datos robados de empresas, incluida Salesforce, con fines de extorsión (BleepingComputer, 2025).
• Snowflake / Ticketmaster / Santander (2024): credenciales robadas de clientes sin MFA permiten acceder a información en Snowflake, que termina a la venta en foros de la dark web (The Guardian & Wired, 2024).

Patrón común: acceso inicial mediante phishing o vulnerabilidad → movimiento lateral → localización y compresión de archivos → exfiltración → extorsión pública (doble extorsión).

2️⃣ ¿Cómo suceden estos ataques?

Los grupos como Qilin utilizan el modelo ransomware-as-a-service (RaaS). Un afiliado obtiene acceso inicial y la infraestructura del grupo ejecuta la carga de cifrado y la publicación de datos.

1. Acceso inicial: por phishing dirigido, vulnerabilidad en VPN o RDP, o uso de credenciales robadas.
2. Escalado de privilegios: el atacante instala herramientas como Cobalt Strike o web shells para obtener privilegios administrativos.
3. Búsqueda de información: escanea servidores SMB y SharePoint para localizar contratos, datos de RR. HH. o financieros.
4. Exfiltración (≈ 27 GB en el caso Asahi): empaqueta y transfiere archivos mediante utilidades como rclone, scp o nubes no autorizadas. Estas transferencias pasan por canales cifrados (TLS, SSH) para evadir detección.
5. Cifrado y extorsión: una vez robados los datos, los sistemas se cifran y se publican fragmentos como “prueba de vida”.

La empresa Asahi declara que los datos robados proceden de servidores internos no plenamente aislados y que se produce una “transferencia no autorizada de información confidencial”. Los atacantes publican capturas parciales (29 imágenes) para presionar el pago, práctica típica de la doble extorsión (BleepingComputer, 2025).

3️⃣ Cómo evitar que los datos sean robados

El principio básico es que los repositorios críticos —como esos 27 GB— no deben estar accesibles desde Internet. Se debe aplicar el marco Zero-Trust (NIST SP 800-207) y políticas de segmentación y DLP para impedir el acceso y la exfiltración.

3.1 Medidas preventivas prioritarias

• Clasificar la información sensible (financiera, personal, estratégica) y ubicarla en redes sin salida directa.
• Segmentar la red y exigir VPN + MFA para cualquier acceso administrativo o remoto.
• Implementar Zero-Trust: verificación continua de identidad y dispositivo en cada conexión.
• Principio de menor privilegio: limitar permisos y auditar accesos a carpetas críticas.

3.2 Prevención de exfiltración

• Data Loss Prevention (DLP): inspeccionar y bloquear transferencias sospechosas de archivos sensibles por HTTP, correo o nube no autorizada.
• Filtrado de salida (egress): bloquear por defecto cualquier conexión a servidores desconocidos.
• Monitorización EDR/XDR y SIEM: detectar copias masivas o uso de herramientas de sincronización externas.

3.3 Resiliencia y respuesta

• Copias de seguridad inmutables (air-gapped): mantener versiones cifradas y desconectadas, probadas mensualmente.
• Gestión de parches: actualizar VPN, firewalls y servidores expuestos a Internet.
• Plan de respuesta y formación: simular phishing y entrenar al personal en detección de incidentes.

Checklist esencial:

• Datos críticos en red interna sin IP pública.
• MFA obligatorio en accesos remotos y administrativos.
• DLP con alertas automáticas > 100 MB de salida.
• Egress deny-all y proxies con inspección TLS.
• Backups inmutables y test de restauración mensual.
• SIEM con alertas de copia masiva o ejecución de rclone.

4️⃣ 

Los ataques como el sufrido por Asahi demuestran que la exfiltración y publicación de datos es hoy el núcleo del ransomware. Proteger los datos implica aislarlos, controlar el acceso y detectar cualquier movimiento irregular. Con arquitectura Zero-Trust, DLP y copias air-gapped, las organizaciones reducen drásticamente la posibilidad de filtración y el impacto económico.

📚 

• BleepingComputer. (2025, 10 de octubre). FBI takes down BreachForums portal used for Salesforce extortion. https://www.bleepingcomputer.com 
• BleepingComputer. (2025, 9 de octubre). Qilin ransomware claims Asahi brewery attack, leaks data. https://www.bleepingcomputer.com
• Reuters. (2025, 7 de octubre). ‘Qilin’ cybercrime gang claims hack on Japan’s Asahi Group. https://www.reuters.com
• The Guardian. (2024, 31 de mayo). Santander customers’ private data put up for sale for $2m by hackers.
• Wired. (2024, 29 de noviembre). Hackers detail how they allegedly stole Ticketmaster data from Snowflake.
• NIST. (2020). SP 800-207: Zero Trust Architecture. National Institute of Standards and Technology.
• CISA. (2025). #StopRansomware Guide. Cybersecurity and Infrastructure Security Agency.
• ENISA. (2025). ENISA Threat Landscape 2025. European Union Agency for Cybersecurity.

🧱 2025 CIBERMURO – Seguridad digital sencilla