Recientemente, un ataque cibernético de gran envergadura ha puesto de manifiesto las vulnerabilidades existentes en la protección de la información personal de los usuarios. Este incidente, que afectó a más de 2 millones de individuos, fue llevado a cabo mediante técnicas de inyección SQL y ataques de Cross-Site Scripting (XSS).
Antes de sumergirnos en los detalles del ataque, es fundamental entender qué son la inyección SQL y el XSS.
La inyección SQL es una técnica de ataque que permite a un atacante manipular las consultas de una base de datos. Esto se logra insertando o "inyectando" un código SQL malicioso en los campos de entrada que se procesan por la aplicación. Si la seguridad de la aplicación es insuficiente, este código malintencionado puede ejecutarse, permitiendo al atacante acceder a datos sensibles, modificarlos o incluso eliminarlos.
Conoce más sobre: ¿Cómo Evitar Ataques de Inyecciones SQL?
El XSS, por otro lado, es un tipo de vulnerabilidad de seguridad en aplicaciones web que permite a los atacantes inyectar scripts maliciosos en páginas vistas por otros usuarios. Esto puede resultar en el robo de cookies, sesiones, o incluso redirigir a las víctimas a sitios web maliciosos. A diferencia de la inyección SQL, el XSS se enfoca en afectar a los usuarios de la aplicación en lugar de la aplicación en sí o la base de datos subyacente.
Conoce más sobre: Descubriendo los Ataques de Cross-Site Scripting (XSS)
Un grupo de amenazas conocido como 'ResumeLooters' ha llevado a cabo un ciberataque donde se apropiaron de los datos personales de más de dos millones de solicitantes de empleo. Esto ocurrió luego de comprometer la seguridad de 65 sitios web legítimos dedicados a la venta de empleo y comercio minorista, utilizando métodos como la inyección SQL y los scripts entre sitios (XSS).
Los ataques se han dirigido principalmente a la región de Asia-Pacífico (APAC), afectando a sitios web ubicados en países como Australia, Taiwán, China, Tailandia, India y Vietnam. La información robada incluye nombres, direcciones de correo electrónico, números de teléfono, historial laboral, educación y otros datos relevantes de los solicitantes de empleo. En noviembre de 2023, se detectó que los ResumeLooters intentaron comercializar los datos sustraídos a través de canales de Telegram.
Te podrá interesar: Descubriendo los canales en Telegram de la Dark Web
Mediante la explotación de vulnerabilidades en sitios web legítimos, el grupo conocido como 'ResumeLooters' utiliza principalmente técnicas de inyección SQL y XSS. Principalmente, estos ataques se dirigen a tiendas minoristas y plataformas de búsqueda de empleo.
En su fase de prueba, los ResumeLooters emplean diversas herramientas de código abierto, incluyendo:
Conoce más sobre: Metasploit Framework: Herramienta de Seguridad Informática
Una vez identificadas y explotadas las debilidades de seguridad en los sitios objetivo, los ResumeLooters inyectan scripts maliciosos en varias partes del HTML del sitio web. Estas inyecciones pueden estar diseñadas para activar el script o simplemente para mostrarlo, dependiendo de la ubicación, como elementos de formulario o etiquetas de anclaje.
En casos exitosos de inyección, se ejecuta un script remoto malicioso que despliega formularios de phishing para capturar la información de los visitantes. Además, se han observado casos en los que los atacantes emplean técnicas personalizadas, como la creación de perfiles de empleadores falsos y la publicación de currículums falsos para alojar scripts XSS.
La falta de medidas de seguridad por parte de los atacantes permitió a terceros infiltrarse en la base de datos que aloja los datos robados, revelando que los atacantes lograron obtener acceso de administrador en algunos de los sitios comprometidos.
Los ResumeLooters llevan a cabo estos ataques con fines lucrativos, intentando vender los datos robados a otros ciberdelincuentes a través de cuentas de Telegram con nombres chinos, como "Penetration Data Center" y "World Data Ali".
Aunque no se ha confirmado explícitamente el origen de los atacantes, las evidencias sugieren una conexión con China debido a la venta de datos en grupos de habla china y el uso de versiones chinas de herramientas como X-Ray.
Te podrá interesar leer: Detección de Ataques de Inyección SQL con Wazuh
El reciente ataque que comprometió los datos de 2 millones de usuarios a través de inyección SQL y XSS sirve como un recordatorio crítico de la importancia de la ciberseguridad. Tanto desarrolladores como usuarios deben estar constantemente vigilantes y adoptar prácticas de seguridad proactivas para proteger contra estas amenazas omnipresentes. La educación continua, la adopción de mejores prácticas de seguridad y la inversión en herramientas de seguridad adecuadas son fundamentales para construir un entorno digital más seguro para todos.
Este análisis no solo resalta la gravedad y la sofisticación de los ataques cibernéticos modernos, sino que también subraya la necesidad urgente de una mayor conciencia y acción en materia de seguridad en línea. Al entender mejor cómo operan estos ataques y al implementar estrategias de mitigación efectivas, podemos esperar reducir significativamente el riesgo de futuros incidentes y proteger la integridad de nuestros datos personales y corporativos.