Recientemente, Cisco confirmó que sufrió un incidente de seguridad en el que piratas informáticos ofrecieron vender datos robados de la empresa en un foro de ciberdelitos.
Un hacker conocido como “IntelBroker” afirmó haber accedido a una variedad de información, incluyendo proyectos de GitHub, código fuente, credenciales codificadas, certificados, documentos confidenciales, tickets de Jira, tokens API, depósitos privados de AWS y claves de cifrado.
El ataque se dio a conocer el 14 de octubre de 2024, cuando “IntelBroker” publicó en un foro popular de hacking, capturas de pantalla que evidenciaban el acceso a la interfaz administrativa de Cisco, documentos internos, presentaciones, código fuente y bases de datos con información de clientes
Respuesta de Cisco
Cisco ha iniciado una investigación y, hasta ahora, ha determinado que los datos comprometidos provienen de un entorno público de DevHub, utilizado para compartir código fuente y otros contenidos con los clientes.
Cisco ha deshabilitado el acceso público a los sitios web afectados y continúa investigando para confirmar el alcance del incidente, también ha asegurado que, hasta el momento, no hay evidencia de que información clasificada o datos financieros hayan sido comprometidos
Implicaciones de la violación de datos
Si las afirmaciones de “IntelBroker” resultan ser ciertas, esta vulneración podría tener graves consecuencias para los clientes y socios de Cisco. El código fuente, las credenciales y los tokens de API comprometidos podrían dar lugar a lo siguiente:
- Robo de propiedad intelectual: con el código fuente y los diseños de productos en la mano, los competidores o grupos delictivos podrían clonar o explotar los productos de Cisco.
- Ataques secundarios : el uso de credenciales comprometidas, tokens API o documentación de clientes podría generar ataques posteriores, incluidos ransomware, phishing o fraude dirigidos a los clientes de Cisco.
- Pérdida de confianza: una violación de esta magnitud podría dañar significativamente la reputación de Cisco, especialmente entre los clientes empresariales que confían en sus tecnologías para soluciones de redes seguras.
- Consecuencias regulatorias y legales: Cisco podría enfrentar un escrutinio regulatorio significativo, especialmente si se descubre que los datos de clientes o de propiedad exclusiva no han sido protegidos lo suficiente.
Posibles estrategias de remediación
Mientras Cisco continúa su investigación, hay varios pasos inmediatos que la empresa debería considerar:
- Revocación de certificados y credenciales expuestos : cualquier certificado SSL, clave privada o credencial codificada que haya sido potencialmente comprometida debe revocarse y reemplazarse de inmediato.
- Aplicar parches y proteger los sistemas DevOps : dado que la infraestructura DevOps parece ser el hilo conductor en las infracciones anteriores de IntelBroker, Cisco debería auditar y fortalecer los controles de seguridad en torno a sus propias herramientas DevOps y las de terceros proveedores.
- Comunicación con el cliente y respuesta a incidentes : si la información del cliente es efectivamente parte de los datos comprometidos, Cisco deberá informar de forma proactiva a los clientes afectados y ayudarlos a proteger sus sistemas.
- Auditoría de seguridad de repositorios de código : se debe realizar una auditoría exhaustiva de todos los repositorios de GitHub, GitLab y SonarQube para identificar posibles vulnerabilidades o exposiciones adicionales de información confidencial.
Más información en el siguiente artículo
Cisco Investigates Major Data Breach Stolen Data up for Sale Online
