Ataque Masivo a Virgin Mobile Colombia: Datos de Clientes en Peligro
Un actor malicioso identificado como “576” publicó el pasado 21 de agosto evidencias de lo que sería uno de los mayores ataques digitales a un operador móvil en Colombia.
A las 8:39 de la noche, “576” publicó en un foro de comercio de bases de datos obtenidas ilegalmente un anuncio donde explicó la magnitud de su ataque.
Según “576”, tiene en su poder bases de datos de usuarios, suscriptores y empleados. El atacante afirmó que posee datos de pago, datos de CDR (Call Detail Record), información de SIM cards, identificación de suscriptores, entre otros datos sensibles.
Además, y añadiendo un componente de alto riesgo, “576” afirma tener acceso a tres dominios que alojan 700 hosts. Pero no solo eso, también dice tener en su poder claves SSH y AWS.
Las claves SSH se utilizan para acceder de manera segura a servidores remotos, mientras que las claves de AWS son credenciales que permiten el acceso a los servicios de Amazon Web Services, una plataforma en la nube que ofrece servicios como almacenamiento, cómputo, bases de datos, entre otros.
Evidencias
La publicación del ataque está acompañada de dos evidencias principales. La primera, más inusual y sorprendente, es que de alguna manera el atacante logró acceder al servidor que aloja la página web en Colombia y dejó un mensaje para quienes buscan el nombre de la empresa en Google.
“La empresa se ha negado a proteger estos datos, por lo que ahora serán vendidos”, dice la lapidaria frase que indexaron en Google.
Además de esta prueba de acceso a los activos digitales de la compañía, el anuncio incluyó una muestra de la base de datos que contiene datos privados de usuarios como nombre, correo electrónico, contraseña, y otros datos sensibles. Estos datos están expuestos públicamente.
MuchoHacker.lol pudo verificar la existencia física de las bases de datos y comprobó que uno de los campos de la base de datos expuesta como evidencia tienen datos financieros de clientes.
Un analista de seguridad, bajo condición de anonimato, revisó parte de la infraestructura técnica de Virgin Mobile Colombia e identificó varias vulnerabilidades. Compartió con MuchoHacker.lol una URL de una API expuesta de Virgin Mobile.
En la URL se observa que está en acceso público, con múltiples datos privados de clientes que han utilizado el portal de Virgin Mobile para realizar transacciones. En esta URL se encuentran los campos “CardNumber” y “CardHolder”, que contienen información de tarjetas de clientes. Aunque en este caso específico no aparece el dato completo, para otras versiones de la API podría estar presente. MuchoHacker.lol no ha podido verificar qué información financiera está expuesta.
Este mismo analista concluyó que, en este momento, se pueden explotar varias vulnerabilidades de la organización, que pudo ser víctima de una técnica de ataque en la que se inserta o “inyecta” código SQL malicioso en una consulta SQL a través de la entrada de datos de una aplicación. Esto puede permitir que el atacante acceda, manipule o extraiga datos de la base de datos de la organización.
Igualmente, detectó una vulnerabilidad de seguridad que ocurre cuando una aplicación permite el acceso directo a un objeto (como un archivo, una entrada en la base de datos, etc.) basado en un identificador (ID) que no está debidamente protegido, y también detectó una configuración incorrecta o insegura en una API.
Falta de Respuesta
Para agravar la situación, en este momento no hay nadie que responda o brinde algún tipo de información sobre los hechos. El pasado martes se dio a conocer que la empresa Beyond One adquirió los servicios de Virgin Mobile Latam.
Actualmente, la empresa, que sigue prestando servicios a colombianos, no cuenta con un responsable visible, lo que agrava aún más la situación. Según la CRC, Virgin Mobile tiene 2.8 millones de clientes activos en este momento.
Recomendaciones de Seguridad para los Clientes de Virgin Mobile Colombia
Dado el reciente ataque cibernético que comprometió la información de los clientes de Virgin Mobile Colombia, es fundamental que los usuarios tomen medidas proactivas para proteger su información personal y financiera. Aunque no se ha podido confirmar la afectación por parte de Virgin es claro que clientes deberían saber que pueden ser víctimas de un ataque .A lgunas recomendaciones clave:
- Cambiar Contraseñas Inmediatamente:
Si has utilizado la misma contraseña en otros servicios, cámbiala de inmediato. Asegúrate de crear contraseñas seguras que incluyan una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Evita usar información personal, como fechas de nacimiento o nombres, en tus contraseñas. - Monitorear Cuentas Bancarias y Tarjetas de Crédito:
Revisa regularmente tus estados de cuenta bancarios y de tarjetas de crédito para detectar cualquier transacción sospechosa. Si notas alguna actividad inusual, contacta de inmediato a tu entidad bancaria para bloquear la tarjeta y reportar el fraude. - Habilitar la Autenticación en Dos Factores (2FA):
Activa la autenticación en dos factores en todas las cuentas en línea que ofrezcan esta opción. Esta medida añade una capa extra de seguridad, ya que, además de la contraseña, se requerirá un código adicional enviado a tu teléfono móvil para acceder a la cuenta. - Desconfiar de Correos Electrónicos o Llamadas Sospechosas:
Los ciberdelincuentes pueden intentar aprovechar esta brecha de seguridad para llevar a cabo estafas de phishing. No proporciones información personal ni financiera a través de correos electrónicos o llamadas telefónicas no solicitadas. Verifica siempre la autenticidad de las comunicaciones con la empresa a través de canales oficiales. - Actualizar Información de Contacto:
Si has cambiado tu dirección de correo electrónico o número de teléfono, asegúrate de actualizar esta información en todas las cuentas importantes. Esto te permitirá recibir notificaciones en caso de actividades sospechosas. - Reportar Cualquier Actividad Sospechosa:
Si sospechas que tu información ha sido utilizada de manera fraudulenta, reporta el incidente a Virgin Mobile Colombia y a las autoridades competentes. Documenta todas las comunicaciones y mantente vigilante sobre cualquier cambio en la seguridad de tus cuentas.
Seguir estas recomendaciones te ayudará a mitigar el impacto de la brecha de seguridad y a proteger tus datos personales en el futuro.
Aquí el consultor anónimo, un niño jugando a ser hacker.
https://x.com/hipdead010
Se equivoca. Muchas personas colaboran con MuchoHacker.lol. Lo invito a que deje el anonimato si va a comentar.
Leí en otro sitio que con los datos de la SIM que ya tienen, estas se pueden clonar y así cometer fraudes. Lo mejor sería pedir una reposición de la SIM o realizar potabilidad a otro operador. ¿Y mientras tanto la SIC? Bien, gracias. Mirando para el techo. Me recuerda a lo que pasó con EPS Sanitas, ¿que sanciones o indemnización hubo a los afectados?
No estoy muy seguro si lo de la clonación es posible. Tendré que averiguar más.