Citrix explora un incidente de violación de datos después de que se encuentran los datos de los clientes para la venta en línea

Citrix es una de las compañías de software y computación en la nube más grandes del mundo. Sus productos son utilizados por agencias gubernamentales y compañías de Fortune 500 en todo el mundo, por lo que no debería ser una sorpresa que a menudo caiga en la mira de los piratas informáticos.

El primer incidente de ciberseguridad tuvo lugar en 2015 cuando un pirata informático logró comprometer uno de los servidores de administración de contenido de Citrix. Gracias en parte a los grandes nombres en la lista de clientes de la compañía, la noticia fue ampliamente cubierta por los medios de comunicación, pero en enero de 2016, el gigante de las redes explicó que no había datos de clientes comprometidos.

Las cosas fueron un poco diferentes en marzo del año pasado cuando Citrix reveló otro ataque exitoso contra su red interna. Utilizando una técnica llamada rociamiento de contraseñas, los piratas informáticos (que supuestamente estaban vinculados a Irán) comprometieron algunas cuentas internas de Citrix e intentaron filtrar datos que pertenecen a la NASA y al FBI. Se desconoce si tuvieron éxito hasta el día de hoy.

El martes, los investigadores que trabajaban para una compañía de inteligencia de amenazas llamada Under the Breach notaron que un cibercriminal está vendiendo datos de clientes de Citrix en un foro clandestino, y pensaron que estaban en un momento de déjà vu.

Un hacker vende 2 millones de registros de clientes de Citrix por $ 20,000

Los investigadores se pusieron en contacto con el vendedor para obtener más información sobre la base de datos. Durante una conversación privada con los delincuentes, se enteraron de que la base de datos contenía los nombres, números de teléfono, direcciones de correo electrónico y físicas, y nombres de compañías de 2 millones de clientes de Citrix. Se les dio una muestra como prueba de que los datos son reales y se les dijo que si quieren la base de datos completa, deben pagar 2.15 BTC, lo que equivale a poco menos de $ 20 mil. Cuando los investigadores preguntaron sobre la fuente de los datos, el vendedor insistió en que provenían de Citrix y no de un tercero.

En otras partes de los foros de piratería, un actor de amenazas también se jactaba de atacar a Citrix. Según sus publicaciones, habían extraído muchos datos de la empresa y lo amenazaban con una infección de ransomware. Citrix, sin embargo, dice que este no es realmente el caso.

Según Citrix, los piratas informáticos robaron los datos de un tercero

El martes, Fermín Serna, Director de Seguridad de la Información de Citrix (CISO), publicó una publicación en el blog para arrojar algo de luz sobre el asunto y disipar algunas de las afirmaciones de los piratas informáticos. Serna dijo que la compañía está investigando todas las alertas que conciernen a la seguridad de los datos de sus clientes, pero también señaló que hasta ahora no ha visto "evidencia" de un compromiso de la red de Citrix.

Los registros robados aparentemente provienen de un tercero que trabaja con Citrix. Dicho tercero sabe sobre el incidente y ya ha echado al intruso. La investigación aún podría estar en curso, pero Serna está segura de que los atacantes no pudieron obtener acceso a la red de Citrix a través de un tercero. También señaló que lo único que los piratas informáticos podrían haber robado es "información comercial de baja sensibilidad". Hasta ahora, la evidencia disponible públicamente parece respaldar las palabras de Serna, pero las conclusiones reales solo pueden extraerse después de que todos los hechos estén disponibles.

Otra organización revela una violación de terceros

Como era de esperar, el tercero que sufrió la violación permanece sin nombre por ahora, lo que no es tan sorprendente dado que la investigación aún no ha terminado. Sin embargo, hay que decir que Citrix no es la única compañía que revela una violación en un servicio asociado que procesa datos.

Recientemente, LiveAuctioneers y dunzo reportaron fugas que ocurrieron debido a un ataque en un socio de procesamiento de datos de terceros. Una vez más, los nombres de las organizaciones violadas siguen siendo desconocidos, lo que significa que no podemos decir si hay un vínculo entre estos incidentes.

Las revelaciones de LiveAuctioneers, Dunzo y Citrix son tan similares, y están tan agrupadas en el tiempo, sin embargo, que no podemos descartar la posibilidad de una posible correlación.