Tecnología

Snowflake es la empresa detrás de los hackeos masivos a Ticketmaster y AT&T

Los ciberataques de gran escala se originaron por una brecha en la seguridad de esta compañía de almacenamiento de datos.

lun 15 julio 2024 03:00 PM

Snowflake, la empresa detrás de los hackeos a AT&T y Ticketmaster — Para investigar el caso, la empresa recurrió a las firmas de ciberseguridad CrowdStrike y Mandiant, que es propiedad de Alphabet, pues estaban implicadas alrededor de 165 empresas potencialmente expuestas de países como Estados Unidos, México, Chile, España y Uruguay.

Expansión

@ExpansionMx

En las últimas semanas, los hackeos masivos a grandes empresas han estado en el centro de la conversación. Ticketmaster y AT&T han sido los casos más sonados por su alcance e impacto entre los usuarios. Sin embargo, estos sucesos tienen un rasgo en común: Snowflake, la empresa de datos en la nube de donde surgieron las vulnerabilidades.

¿Qué es Snowflake y por qué está implicada en los hackeos a Ticketmaster y AT&T?

Snowflake, de acuerdo con información de especialistas, es una plataforma centrada en el almacenamiento y análisis de datos en la nube diseñada para ayudar a empresas a almacenar, procesar y analizar grandes cantidades de data.

Es una opción atractiva para las empresas, debido a varias características: arquitectura única, su capacidad de manejar datos estructurados y semiestructurados, lo cual entrega un entorno escalable y administrado.

Sin embargo, a finales de mayo su seguridad se vio comprometida y afectó a una serie de empresas, entre ellas AT&T, Ticketmaster, LendingTree, Advance Auto Parts e incluso al banco Santander.

Luego de que se diera a conocer el hackeo a AT&T, donde se descargaron ilegalmente datos de 109 millones de clientes, la empresa de telefonía dijo que los ciberdelincuentes accedieron a dicha información a través de su plataforma en la nube en donde se encontraban registros de llamadas y mensajes de texto de los usuarios.

De acuerdo con el vocero de la compañía, dicho servicio en la nube era propiedad de Snowflake, empresa que confirmó un problema con sus servicios desde el 23 de mayo pasado a través de Brad Jones , vicepresidente de seguridad de la información en Snowflake.

Para investigar el caso, la empresa recurrió a las firmas de ciberseguridad CrowdStrike y Mandiant, que es propiedad de Alphabet, pues estaban implicadas alrededor de 165 empresas potencialmente expuestas de países como Estados Unidos, México, Chile, España y Uruguay.

En una publicación dentro de la página web de Snowflake, Jones defendió a su empresa diciendo que los ataques no fueron causados “por una vulnerabilidad, una configuración incorrecta o una violación de de la plataforma de Snowflake”.

¿Cómo obtuvieron acceso a la información de Snowflake?

Si bien la empresa afirmó que no hubo credenciales comprometidas, uno de los hallazgos más relevantes es que en la campaña, los piratas informáticos “aprovecharon credenciales previamente compradas u obtenidas a través de malware de robo de información”.

También se destacó que “un actor de amenazas” obtuvo credenciales personales de un exempleado de Snowflake, lo cual le permitió acceder a cuentas de demostración, pero la empresa señaló que dicha información no incluía datos confidenciales y la cuenta no estaba conectada a los sistemas corporativos o de producción de Snowflake.

Ante este contexto, la empresa recomendó a las empresas clientes aplicar la autenticación multifactor en todas sus cuentas, configurar reglas de política de red para permitir sólo a usuarios autorizados o desde ubicaciones confiables, además de restablecer y rotar las credenciales de Snowflake.