El 31/05, después de que se violaron los datos de al menos 1 de sus clientes, la empresa Progress reveló que los piratas informáticos habían encontrado una debilidad no descubierta previamente en su software que les permitía apuntar a sus clientes.
Progress Software Corporation (Progress) fue cofundada en 1981 por varios graduados del MIT: Joseph W. Alsop, Clyde Kessel y Chip Ziering, entre otros, con el nombre Data Language Corporation (DLC), pero en 1987 cambió su nombre a Progress Software a causa de su producto estrella, Progress.
Luego inició una agresiva estrategia de absorciones:
La reciente brecha condujo al robo de terabytes de datos de los clientes de Progress, incluida la compañía petrolera Shell y los rivales contables PwC y EY, así como docenas de otras agencias gubernamentales estadounidenses, incluido el Departamento de Agricultura, los servicios de salud de Maryland y el sistema de pensiones de California. uno de los más grandes del mundo.
El extenso panorama de víctimas, muchas de las cuales aún no han reconocido públicamente la violación, están conectados entre sí por su dependencia de un software llamado MOVEit, creado por Progress, que se anunció como un método seguro para que las empresas cumplan con las regulaciones de procesamiento, manteniendo segura su información más valiosa tanto en tránsito como en almacenamiento.
Mehul Srivastava en Financial Times:
"Cuando Progress Corp, el fabricante de software comercial con sede en Massachusetts, reveló que su sistema de transferencia de archivos se había visto comprometido este mes, el problema adquirió importancia global.
Una organización de habla rusa denominada 'Cl0p' había utilizado la vulnerabilidad para robar información confidencial de cientos de compañías, incluidas British Airways, Shell y PwC. Se esperaba que los piratas informáticos intentaran extorsionar a las organizaciones afectadas, amenazando con divulgar sus datos a menos que se pagara un rescate.
Sin embargo, los expertos en seguridad cibernética dijeron que los datos robados en el ataque, incluidas las licencias de conducir, la salud y la información de pensiones de millones de estadounidenses, sugiere otra forma en que los piratas informáticos sacarían provecho: estafas de robo de identidad, que combinadas con lo último en el llamado software 'deepfake' puede resultar incluso más lucrativo que extorsionar a las empresas.
(Deepfake o ultrafalso es un acrónimo del inglés formado por las palabras 'fake' -falsificación-, y 'deep learning' -aprendizaje profundo-; una técnica de inteligencia artificial que permite editar vídeos falsos de personas que aparentemente son reales, utilizando para ello algoritmos de aprendizaje no supervisados, conocidos en español como RGA (Red generativa antagónica), y videos o imágenes ya existentes. Las técnicas para identificar 'deepfakes' ya han conseguido llegar a un nivel de precisión del 86,6% pero deberían llegar al 99% de seguridad y consistencia, y aún no se ha conseguido.)
“No soy un delincuente, pero he estado estudiando esto durante mucho tiempo: si tuviera tanta información y fuera tan impecable, el cielo es el límite”, dijo Haywood Talcove, director ejecutivo de la División Gobierno, de LexisNexis Risk Solutions.
Los expertos han advertido durante mucho tiempo sobre el crecimiento de las estafas 'deepfake' en las que los delincuentes combinan software de inteligencia artificial con información personal para crear semejanzas digitales realistas de personas para eludir los controles de seguridad tradicionales.
La cantidad de 'deepfakes' utilizados en estafas solo en los primeros 3 meses de 2023 superó a todo 2022 y algo más, según Sumsub, una plataforma de verificación con sede en Miami (Florida, USA), con un crecimiento particularmente alto en Canadá, USA, Alemania y Reino Unido.
Esto se debe a que falsificar la identidad de un ciudadano occidental desbloquea no solo las estafas bancarias y en línea tradicionales, sino también el robo de beneficios gubernamentales. (...)".
Progress confía en Charles River Associates, la división forense del bufete de abogados DLA Piper, y la seguridad cibernética Mandiant, propiedad de Alphabet/Google, mientras se prepara para las demandas en su contra.
---------------------------------
Otras lecturas de Urgente24:
Larreta no esperó a Mauricio Macri y lo fulminó: "Fracasó"
Hombre Muerto Oeste: Una australiana obtuvo permiso para extraer litio