weerapat1003 - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Informe de brecha de datos de Citrix plantea más preguntas

Citrix reveló una posible violación de datos atribuida a la poca seguridad de las contraseñas, pero la falta de detalles sobre el ataque solo deja reclamos sin confirmar de una sola firma de ciberseguridad.

Citrix alertó al FBI sobre un incidente que involucraba a atacantes que obtuvieron acceso no autorizado a la red interna de la compañía, pero es difícil precisar los detalles más allá de eso.

De acuerdo con el anuncio de divulgación oficial escrito por Stan Black, CSIO de Citrix, la compañía notificó al FBI que "delincuentes cibernéticos internacionales" accedieron a la red interna de la compañía a través de un ataque de rociado de contraseñas en el que actores maliciosos inician sesión a la fuerza con contraseñas de uso común.

"Si bien nuestra investigación continúa, según lo que sabemos hasta la fecha, parece que los hackers pueden haber accedido y descargado documentos de negocios. Sin embargo, actualmente se desconocen los documentos específicos a los que pueden haber accedido", escribió Black en una publicación del blog. "En este momento, no hay indicios de que se haya comprometido la seguridad de ningún producto o servicio de Citrix".

Además de no estar claro qué documentos se vieron afectados en la violación de datos de Citrix, la compañía no mencionó durante cuánto tiempo los atacantes tuvieron acceso a la red interna de Citrix. En diciembre, Citrix también obligó a muchos usuarios de ShareFile a restablecer contraseñas, observando el "aumento constante en el robo de credenciales de cuentas de internet y el riesgo de ataques de relleno de credenciales". Sin embargo, Citrix dijo que la compañía en sí misma no fue violada.

Una empresa de investigación de ciberseguridad con sede en Los Ángeles, llamada Resecurity, afirmó tener más información sobre la violación de datos de Citrix y dijo que los atacantes obtuvieron acceso a información confidencial de entre seis y 10 TB", incluida la correspondencia por correo electrónico, los archivos en redes compartidas y otros servicios utilizados para la gestión de proyectos y adquisiciones".

Según Resecurity, el ataque fue llevado a cabo por un grupo de amenazas iraní conocido por atacar agencias gubernamentales y compañías de petróleo y gas. Resecurity afirmó en una publicación de blog que llegó a Citrix en diciembre para compartir una "notificación de alerta temprana" sobre el ataque, pero en una entrevista con NBC News, el presidente de Resecurity, Charles Yoo, también dijo que el grupo de amenazas originalmente accedió a la red de Citrix hace 10 años y persistió desde entonces.

Estos detalles sobre la violación de datos de Citrix no se pudieron verificar de ninguna manera. Inicialmente, la publicación del blog de Resecurity sobre el incidente no contenía ninguna evidencia técnica, ni la compañía respondió a las solicitudes de comentarios. Resecurity actualizó su publicación del lunes con información y reclamos adicionales, incluidas direcciones IP supuestamente de Irán, así como capturas de pantalla oscuras que parecían mostrar una lista de cuentas de correo electrónico y otra información, incluidos nombres parcialmente visibles, de aproximadamente dos docenas de empleados de Citrix.

Citrix se negó a comentar sobre los reclamos hechos por Resecurity o si había alguna relación entre las dos compañías.

"Como se reveló el viernes, iniciamos una investigación forense exhaustiva sobre el incidente con la ayuda de expertos externos destacados y comunicaremos detalles adicionales cuando tengamos información creíble y procesable", dijo un portavoz de Citrix en un comunicado. "No tenemos comentarios sobre los reclamos de Resecurity en este momento".

Andrei Komarov, antiguo CIO de InfoArmor, incorporó Resecurity, según documentos públicos descubiertos por primera vez por el usuario de Twitter "Deacon Blues". La presencia en la web de la compañía es bastante delgada; el sitio web de Resecurity incluye solo dos publicaciones de blog y un puñado de noticias que se remontan al 1 de septiembre. La página web no contiene información sobre productos, servicios o investigaciones.

La página de la compañía no incluye a ninguno de los empleados más allá de una publicación de noticias sobre Ian Cook, director de Corbels Security Services, con sede en East Sussex, U.K., quien fue nombrado asesor estratégico. LinkedIn enumera ocho empleados de Resecurity, aunque Komarov no es uno de ellos. De esos ocho empleados, solo tres están listados en el área de Los Angeles –Resecurity no menciona ninguna otra oficina– y el perfil de Yoo no incluye información más allá de su posición en Resecurity.

Komarov ha estado conectado a un informe de incumplimiento cuestionable en el pasado con el mega incumplimiento 2013 de Yahoo. InfoArmor vio que los datos de la violación de Yahoo se vendieron en la web profunda en agosto de 2016, publicaron información sobre los datos y proporcionaron los datos a las autoridades policiales tres meses antes de que Yahoo revelara la violación de 2013. Komarov e InfoArmor nunca contactaron directamente a Yahoo acerca de los datos.

George Avetisov, CEO y cofundador del proveedor de gestión de identidad y acceso HYPR, expresó su preocupación sobre cuánta fe depositar en los reclamos de Resecurity.

"No tengo conocimiento de Resecurity, pero parece bastante sospechoso. Tienen una historia muy corta para trabajar con una compañía de software tan prominente como Citrix, tienen un fondo mínimo en este espacio, el fundador no tiene una presencia visible en línea y los insiders de la industria han estado cuestionando la legitimidad de la compañía", dijo Avetisov. "En pocas palabras, nadie ha oído hablar de ellos".

Este artículo se actualizó por última vez en marzo 2019

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close