España se enfrenta a una importante oleada de hackeos dirigidas a empresas. Solo este mes se han conocido hackeos masivos a la Dirección General de Tráfico, a Iberdrola, a Telefónica y a Santander que han puesto en jaque el mercado empresarial español y a sus usuarios. Ya se está apuntando a un posible culpable: Snowflake, una importante plataforma de datos en la nube usada por casi 10.000 clientes, que habría sido atacada.

Así lo relata la firma de ciberseguridad Hudson Rock, que especifica que los atacantes cibernéticos que han participado en los hackeos masivos de Santander y Ticketmaster habrían accedido a los datos atacando la cuenta de un empleado de Snowflake. Dicha plataforma, fundada en 2012, cuenta con 9.437 clientes empresariales de alto calado, con nombres que van desde Adobe hasta HP, entre otros. Cabe destacar que Hudson Rock ha borrado el artículo original sin previo aviso.

Snowflake básicamente permite a los usuarios corporativos que colaboran con ella almacenar y analizar datos usando tanto hardware como software directamente basado en la nube. Hudson Rock apunta directamente a Snowflake como catalizador de esta oleada de ataques, llegando a afirmar que solo una credencial ha causado la filtración "de potencialmente cientos de empresas".

Una base de datos filtrada

Todo comienza en octubre del año pasado. Hudson Rock aseguraba en su artículo que un empleado de Snowflake fue atacado con Lumma, un software tipo 'infostealer'. Este es un tipo de programa malicioso que suelen ser ejecutados en forma de troyano; como su nombre indica en inglés, buscan robar información crítica de los equipos que infecta, incluyendo credenciales de acceso.

Según relata BleepingComputer, una vez realizado el robo, los hackers se saltaron los procesos de autentificación seguros de Okta iniciando sesión en las cuentas ServiceNow de este empleado, usando sus credenciales. Con este acceso, los atacantes podían generar tokens de sesión para sacar los datos de la plataforma de datos pertenecientes a clientes de Snowflake.

Logo de Snowflake. Snowflake Omicrono

Hudson Rock fue tajante al respecto. "Una sola credencial resultó en la exfiltración de potencialmente cientos de empresas que almacenaban sus datos usando Snowflake, y los propios actores de amenazas sugirieron que 400 empresas se vieron afectadas", reza su comunicado ahora eliminado por la compañía.

Dicho actor compartió con la empresa de ciberseguridad un archivo que albergaba más de 2.000 registros de clientes relacionados con los servidores de Snowflake en Europa. El objetivo de este robo era monetario. El objetivo era chantajear a Snowflake para que este recomprase los datos robados de otras compañías en un rescate que tendría un coste de 20 millones de dólares.

Banco Santander, una de las empresas afectadas. Europa Press.

Al parecer, Snowflake se negó a pagar, y ni siquiera respondió a los atacantes. Si bien Snowflake no parece haber confirmado la veracidad del reporte de Hudson Rock, ha lanzado un anuncio en su web de comunidad explicando que están investigando "un aumento en la actividad de amenazas dirigidas a algunas de las cuentas de nuestros clientes". Snowflake asegura no haber identificado evidencia alguna de que surgiera dicha actividad fruto de una vulnerabilidad o "una mala configuración" de la plataforma Snowflake.

Por otro lado Brad Jones, el CISO (Chief Information Security Officer) de Snowflake reconoció en la web que desde Snowflake eran conscientes de "informes recientes relacionados con un posible compromiso del entorno de producción de Snowflake". Califican algunas de las informaciones de erróneas, y detallan que no existe evidencias de que dicha actividad fuera causada por vulnerabilidades o malas configuraciones.

Eso sí, Jones admite que se realizó un acceso "potencialmente no autorizado a ciertas cuentas de clientes el pasado 23 de mayo de 2024". No fue hasta abril de 2024 que desde la empresa observaron una mayor actividad en lo que a amenazas cibernéticas refiere "desde un conjunto de direcciones IP y clientes sospechosos que creemos que están relacionados con el acceso no autorizado".

Además, Snowflake está notificando a todos los clientes de su plataforma sobre estos ataques y les recomendaron proteger sus cuentas habilitando la tecnología de autenticación multifactor. También publicaron boletines de seguridad con indicaciones y consultas, así como consejos sobre cómo estos clientes podían proteger sus cuentas.

Oleada de hackeos en España

Los sucesivos ataques que se han podido ver en estas últimas semanas han afectado a todo tipo de empresas, desde firmas dedicadas a telecomunicaciones hasta entidades bancarias. Es el caso del Banco Santander, que el pasado 14 de mayo pudo detectar una brecha de seguridad que afectaba a clientes de la empresa repartidos por España, Chile y Uruguay.

Fotomontaje del logo de Ticketmaster con un fondo de código. Reuters/NC Omicrono

La investigación llevada a cabo por la propia Santander reveló un acceso no autorizado a una base de datos de la entidad alojada en un proveedor, lo que confirmaría las sospechas de Hudson Rock. Afortunadamente, en esa base de datos no había información transaccional ni credenciales de acceso de los usuarios.

Más recientemente, tuvo lugar el gigantesco hackeo a Ticketmaster. Este ataque masivo habría dado acceso a los atacantes a datos de más de 500 millones de clientes de la empresa. Detrás de este suceso estarían los famosos piratas informáticos ShinyHunters, que ya habrían vendido un pack de 1,3 terabytes de datos a un precio de 500.000 dólares.

Cabe destacar que los expertos en ciberseguridad de la Guardia Civil y de otros especialistas de la Seguridad Nacional en España no creen que una potencia extranjera se encuentre detrás de esta ola de hackeos. Fuentes consultadas por EL ESPAÑOL ya han atribuido estos ciberataques a la delincuencia común más habitual, lo que descarta la hipótesis de que una potencia enemiga planea desestabilizar el mercado empresarial español.