En una revelación impactante, un informe reciente sobre violación de datos reveló que un notorio actor de amenazas conocido como ‘kiberphant0m’ obtuvo acceso a los sistemas de datos de Bharat Sanchar Nigam Limited (BSNL), el proveedor de telecomunicaciones estatal. En el momento de la publicación, BSNL no había respondido a la solicitud de respuesta de News18.
Kanishk Gaur, director ejecutivo de la empresa de gestión de riesgos digitales Athenian Tech, dijo a News18: “Parece que la infracción pudo haber estado en curso durante un período de tiempo significativo antes de que se revelara públicamente. La naturaleza y el volumen de los datos comprometidos sugieren que ‘kiberphant0m’ tuvo acceso prolongado a los sistemas de BSNL”.
“Aún se está evaluando el número exacto de usuarios afectados, pero dado el alcance de los datos comprometidos, potencialmente afecta a millones de suscriptores de BSNL”, añadió.
Datos comprometidos
Los datos comprometidos supuestamente incluyen información crítica como números de identidad de abonado móvil internacional (IMSI), detalles de la tarjeta SIM, códigos PIN y claves de autenticación. Además, la violación supuestamente involucra datos de tarjetas DP y claves de seguridad DP, junto con instantáneas de los servidores SOLARIS de BSNL.
Después de una investigación sobre la autenticidad y singularidad de los datos en comparación con una violación de datos de BSNL informada anteriormente en diciembre de 2023, Athenian Tech supuestamente descubrió que los datos que se venden son distintos y no están relacionados con conjuntos de datos vendidos anteriormente, que se centraban en la información del usuario. Los datos actuales son más complejos y críticos y se relacionan directamente con las operaciones de telecomunicaciones.
“El actor de amenazas fijó el precio de los datos comprometidos en $ 5,000, ofrecido como una oferta especial válida del 30/05/2024 al 31/05/2024. Este precio resalta el alto valor de los datos debido a su sensibilidad y amplio alcance. Durante conversaciones en una plataforma de la web oscura, el actor de amenazas discutió el posible uso indebido de estos datos para actividades como la clonación de SIM y la extorsión, lo que ilustra los graves riesgos asociados con su explotación criminal”, dice el informe.
Los riesgos
La clonación de SIM implica la creación de una tarjeta SIM duplicada con el mismo IMSI y claves de autenticación que la original. Una vez clonada, una tarjeta SIM se puede utilizar para interceptar mensajes y llamadas, evitar la autenticación de dos factores, acceder a cuentas bancarias y cometer fraude bajo la identidad de otra persona. Esto no sólo compromete la seguridad personal sino que también puede provocar importantes pérdidas económicas a las víctimas.
El informe destacó que los usuarios podrían convertirse en blanco de esquemas de phishing u otros ataques de ingeniería social. Los datos robados pueden utilizarse para elaborar estafas convincentes, explotar la confianza de los usuarios en BSNL y causar más daños personales y financieros.
Con acceso a los detalles del Registro de Ubicación del Hogar (HLR) y a las copias de las máquinas, los actores malintencionados pueden potencialmente manipular la configuración de la red o interceptar datos directamente desde la red. Los cambios no autorizados en la red o la interceptación de datos pueden provocar interrupciones generalizadas del servicio, actividades de vigilancia ilegal y filtración de información confidencial.
El acceso a las instantáneas del servidor SOLARIS permite a los atacantes estudiar la configuración de la infraestructura y potencialmente explotar vulnerabilidades conocidas o inyectar código malicioso sin detección inmediata. Esto podría provocar fallas operativas, alteración de datos maliciosos o cierres completos de la red, lo que afectaría a miles de usuarios y provocaría contratiempos operativos y financieros para BSNL.
Con datos críticos como números IMSI y detalles de la tarjeta SIM comprometidos, existe el riesgo de acceso no autorizado y manipulación de las operaciones de telecomunicaciones, lo que podría provocar interrupciones del servicio o un rendimiento degradado.
El informe también destacó que BSNL es un componente clave de la infraestructura de telecomunicaciones de la India. La exposición de datos confidenciales, incluidas instantáneas del servidor y claves de seguridad, puede aprovecharse para interrumpir las redes de comunicación. Estas vulnerabilidades podrían aprovecharse en ataques cibernéticos para socavar la seguridad nacional o la estabilidad de la infraestructura.
La infracción sienta un precedente peligroso y podría alentar nuevos ataques a otros sectores de infraestructura críticos. Los datos operativos detallados que han sido comprometidos podrían usarse para lanzar ataques cibernéticos más sofisticados, dirigidos no solo a BSNL sino también a otros sistemas y redes interconectados.
Ideas y recomendaciones
Gaur proporcionó información sobre la naturaleza del actor de amenazas y dijo que ‘kiberphant0m’ se identifica como un actor de amenazas altamente calificado y posiblemente con buenos recursos que se especializa en comprometer sistemas de infraestructura crítica. Sus actividades anteriores y los datos sofisticados que ha comprometido apuntan a su profundo conocimiento de las operaciones de telecomunicaciones y los protocolos de seguridad.
“Opera en foros de la web oscura, a menudo muestra sus hazañas y busca monetizar los datos robados mediante extorsión o vendiéndolos a otros actores maliciosos”, añadió el especialista en ciberseguridad.
Cuando se le preguntó acerca de las vulnerabilidades o exploits utilizados por ‘kiberphant0m’ para obtener acceso a los sistemas de BSNL, Gaur dijo: “Si bien las vulnerabilidades específicas explotadas por ‘kiberphant0m’ no se han divulgado públicamente, el acceso a sistemas críticos como el Registro de Ubicación de Inicio (HLR) y Las instantáneas del servidor SOLARIS indican una penetración profunda probablemente facilitada por la explotación de vulnerabilidades del software o el uso de sofisticadas técnicas de ingeniería social. La inclusión de instantáneas del servidor sugiere una posible explotación de vulnerabilidades conocidas dentro de la infraestructura del servidor de BSNL, enfatizando la necesidad de una gestión rigurosa de parches y actualizaciones de seguridad”.
Con respecto al volumen de datos comprometidos, Gaur explicó: “Los datos comprometidos en esta violación son sustanciales y cubren varias áreas críticas, incluidos detalles de IMSI y SIM, datos HLR, datos de tarjeta DP (aproximadamente 8 GB), datos de clave de seguridad DP (alrededor de 130 GB), claves maestras e instantáneas del servidor SOLARIS por un total de aproximadamente 140 GB”.
Gaur también brindó recomendaciones para BSNL, diciendo que las acciones inmediatas deberían incluir la realización de una investigación forense integral para comprender el alcance de la infracción e identificar las vulnerabilidades exactas que han sido explotadas.
“BSNL debería comunicarse de forma transparente con los suscriptores afectados, asesorándoles sobre medidas de precaución y ofreciéndoles apoyo para mitigar posibles impactos como la clonación de SIM o el robo de identidad. También es crucial fortalecer las medidas de seguridad, incluida la autenticación multifactor, el cifrado mejorado y controles de acceso más estrictos en todos los sistemas, junto con auditorías de seguridad periódicas y detección avanzada de amenazas impulsada por IA”, señaló.