El cifrado no habría detenido la filtración de datos de Anthem

En la reciente filtración de datos en la aseguradora de salud Anthem, los delincuentes accedieron a los datos personales y los números de seguridad social de más de 80 millones de personas, el mayor robo de datos de atención médica hasta la fecha. Los datos médicos y de pago no se vieron comprometidos, pero los delincuentes pueden utilizar los nombres, las direcciones, los cumpleaños y los números de Seguro Social a los que se accede para cometer varios tipos de fraude.





Muchas personas se sorprendieron al escuchar que estos datos confidenciales no estaban encriptados y que el mandato federal para proteger los datos relacionados con la salud, HIPAA, no lo requiere. De hecho, HIPAA solo recomienda encarecidamente el cifrado. Se supone que las organizaciones que eligen no usar el cifrado deben documentar las razones por las que no lo hacen e implementar una medida alternativa equivalente si es razonable y apropiado. La vaguedad de este requisito es el quid de la demanda colectiva y otras demandas presentadas contra Anthem.

Pero incluso si Anthem hubiera usado encriptación, los datos aún podrían haberse visto comprometidos. El cifrado es solo una parte del arsenal que las organizaciones necesitan implementar para proteger los datos confidenciales. El cifrado es excelente para proteger los datos en tránsito y en reposo, pero si las credenciales y las claves se ven comprometidas, hace poco para proteger los datos.

El mayor problema en muchas infracciones es que las organizaciones no han implementado adecuadamente los controles de seguridad de acceso a los datos. Deben contar con medidas de seguridad en caso de que los atacantes puedan eludir las defensas perimetrales y comprometer las credenciales de nivel de administrador.



Esto es precisamente lo que le sucedió a Anthem, que dice que sus atacantes obtuvieron acceso a al menos cinco juegos de credenciales de empleado .

Es ridículamente fácil para los ciberdelincuentes encontrar la información que necesitan para comprometer a casi cualquier organización. Una mirada rápida a las ofertas de trabajo de Anthem y los perfiles de LinkedIn me bastó para identificar el software que utiliza Anthem para su almacén de datos.

A partir de ahí, pude identificar fácilmente a más de 100 personas, como arquitectos de sistemas y administradores de bases de datos, que tendrían acceso privilegiado al almacén de datos que almacena decenas de millones de registros personales confidenciales. Esto fue probablemente lo primero que investigaron los atacantes de Anthem antes de realizar una campaña de phishing para distribuir el malware utilizado para recolectar las credenciales de los empleados.



Un atacante que puede comprometer un sistema a través de las credenciales de un usuario con acceso de nivel de administrador al almacén de datos puede robar fácilmente más credenciales, encontrar información monetizable y exfiltrar datos no cifrados.

Entonces, ¿qué deben hacer las organizaciones para proteger los datos confidenciales de los clientes? Los atacantes sofisticados con suficiente tiempo y recursos pueden entrar ningún organización eventualmente. Los ciberdelincuentes son plenamente conscientes de las constantes compensaciones que hacen las organizaciones para equilibrar la seguridad con la eficiencia operativa, y han demostrado repetidamente que son totalmente capaces de explotar incluso las debilidades de seguridad más pequeñas.

Anthem no será la última organización de atención médica en sufrir una brecha masiva. Al igual que con el comercio minorista, muchas organizaciones serán el objetivo, ya que las debilidades de seguridad a menudo se comparten en toda una industria. Las organizaciones de atención médica deben reevaluar sus prácticas de seguridad a la luz de la violación de Anthem para asegurarse de que cuentan con los controles de seguridad adecuados para proteger sus redes.



Ken Westin es un analista de seguridad sénior que se especializa en delitos cibernéticos e inteligencia de amenazas para una empresa de seguridad informática. Tripwire Inc .

esconder