En un nuevo informe sobre la exposición de la industria de la ciberseguridad global en la Dark Web este año, la empresa global de seguridad de aplicaciones, ImmuniWeb, descubrió que el 97 % de las principales empresas de ciberseguridad tienen fugas de datos u otros incidentes de seguridad expuestos en la Dark Web, mientras que, en promedio, hay hay más de 4000 credenciales robadas y otros datos confidenciales expuestos por empresa de ciberseguridad.

Incluso la propia industria de la ciberseguridad no es inmune a estos problemas, como lo demuestra la investigación de ImmuniWeb.

Los hallazgos clave que encontró la investigación en relación con la exposición de las principales empresas mundiales de ciberseguridad en la Dark Web incluyeron:

• El 97% de las empresas tienen filtraciones de datos y otros incidentes de seguridad expuestos en la Dark Web.
• Se encontraron 631 512 incidentes de seguridad verificados con más del 25 % (o 160 529) de los clasificados como de nivel de riesgo alto o crítico + que contenían información altamente confidencial, como credenciales de texto sin formato o PII, incluidos datos financieros o similares. Por lo tanto, en promedio, hay 1586 credenciales robadas y otros datos confidenciales expuestos por empresa de ciberseguridad. Durante la investigación de ImmuniWeb también se descubrieron más de 1 millón de incidentes no verificados (1 027 395), y solo 159 462 se estimaron como de bajo riesgo.
• El 29 % de las contraseñas robadas son débiles, los empleados de 162 empresas reutilizan sus contraseñas: la investigación reveló que el 29 % de las contraseñas robadas son débiles, con menos de ocho caracteres o sin letras mayúsculas, números u otros caracteres especiales y que los empleados de 162 empresas (alrededor de 40) reutilizar contraseñas idénticas en diferentes violaciones Esto aumenta el riesgo de ataques de reutilización de contraseñas por parte de ciberdelincuentes.
• Se utilizaron correos electrónicos profesionales en sitios de citas para adultos y pornografía; las infracciones de terceros representaron una cantidad considerable de los incidentes, ya que la investigación de ImmuniWeb encontró 5121 credenciales que habían sido robadas de sitios web de citas para adultos o pornografía pirateados.
• El 63 % de los sitios web de las empresas de ciberseguridad no cumplen con los requisitos de PCI DSS, lo que significa que utilizan software vulnerable u obsoleto (incluidas bibliotecas y marcos JS) o no tienen Web Application Firewall (WAF) en modo de bloqueo.
• El 48 % de los sitios web de las empresas de ciberseguridad no cumplen con los requisitos del RGPD, debido al software vulnerable, la ausencia de una política de privacidad claramente visible o la falta de un descargo de responsabilidad de cookies cuando las cookies contienen PII o identificadores rastreables.
• 91 empresas tenían vulnerabilidades de seguridad de sitios web explotables, el 26% de las cuales aún no tienen parches; este hallazgo provino de ImmuniWeb en referencia a los datos disponibles abiertamente en el proyecto Open Bug Bounty.

La investigación se llevó a cabo utilizando la prueba de seguridad de dominio en línea gratuita de ImmuniWeb, que combina la tecnología patentada OSINT mejorada con Machine Learning, para descubrir y clasificar la exposición a la Dark Web. Se probaron 398 empresas líderes en ciberseguridad con sede en 26 países, principalmente EE. UU. y Europa.

Las empresas de ciberseguridad en los EE. UU. sufrieron los incidentes de riesgo más alto y crítico, seguidas por el Reino Unido y Canadá, luego Irlanda, Japón, Alemania, Israel, la República Checa, Rusia y Eslovaquia.

De las 398 empresas de ciberseguridad evaluadas, solo las de Suiza, Portugal e Italia no sufrieron ningún incidente de riesgo alto o crítico, mientras que las de Bélgica, Portugal y Francia tuvieron el menor número de incidentes verificados.

Ilia Kolochenko, CEO y fundadora de ImmuniWeb, comentó sobre la investigación:

«Hoy en día, los ciberdelincuentes se esfuerzan por maximizar sus ganancias y minimizar sus riesgos de ser detenidos al atacar a terceros confiables en lugar de perseguir a las víctimas finales. Por ejemplo, las grandes instituciones financieras comúnmente tienen formidables recursos técnicos, forenses y legales para detectar e investigar oportunamente , y enjuiciar enérgicamente la mayoría de las intrusiones, a menudo con éxito.

«Por el contrario, sus terceros, que van desde bufetes de abogados hasta empresas de TI, por lo general carecen de la experiencia interna y el presupuesto necesarios para reaccionar rápidamente al creciente espectro de ataques dirigidos y APT. Eventualmente, se convierten en una fruta fácil de alcanzar para los atacantes pragmáticos que también disfrutan de la tecnología virtual». En 2020, uno no necesita gastar en costosos 0 días, sino encontrar varios terceros desprotegidos con acceso privilegiado a las ‘Joyas de la Corona’ y romper rápidamente el eslabón más débil».

«La visibilidad y el inventario holísticos de sus datos, TI y activos digitales son esenciales para cualquier programa de ciberseguridad y cumplimiento en la actualidad. Las tecnologías modernas, como el aprendizaje automático y la inteligencia artificial, pueden simplificar y acelerar significativamente una cantidad considerable de tareas laboriosas que van desde la detección de anomalías hasta la detección falsa». Sin embargo, esta imagen debe complementarse con un monitoreo continuo de Deep y Dark Web, y los innumerables recursos en Surface Web, incluidos los repositorios de códigos públicos y los sitios web de pegado, probablemente se vuelvan aún más complejos en el futuro cercano».

Los resultados completos de la investigación se pueden ver aquí.