Cómo ocurrió la brecha de datos de Medibank y cómo evitarla

1. Introducción#

En octubre de 2022, Medibank, una de las aseguradoras de salud privadas más grandes de Australia, sufrió una brecha de datos que expuso la información personal y médica confidencial de 9,7 millones de clientes. Este incidente mostró las graves consecuencias de no implementar medidas básicas de ciberseguridad. Comprender cómo ocurrió la brecha y las lagunas de seguridad explotadas es esencial para prevenir ataques similares en el futuro.

Es por eso que esta publicación de blog cubrirá estas preguntas principales:

• ¿Qué vulnerabilidades permitieron la brecha de Medibank?
• ¿Qué contramedidas podrían haber prevenido la brecha de Medibank?

2. ¿Cómo ocurrió la brecha de datos de Medibank?#

La brecha de datos de Medibank no fue el resultado de métodos de piratería sofisticados. En cambio, ocurrió debido a una serie de errores de seguridad prevenibles. Estos descuidos permitieron a los ciberdelincuentes ingresar a la red de Medibank, robar grandes cantidades de información confidencial y luego exigir un rescate.

2.1 Credenciales robadas y puntos de entrada no seguros#

El ataque comenzó cuando un proveedor de TI externo, contratado por Medibank, almacenó los detalles de inicio de sesión de nivel de administrador de Medibank en un dispositivo personal. Este dispositivo estaba infectado con malware, lo que permitió a los atacantes obtener credenciales de usuario. Debido a que el sistema de acceso remoto de Medibank no requería autenticación multifactor en ese momento, los atacantes pudieron iniciar sesión en la red de la empresa utilizando estas credenciales robadas, pareciendo ser usuarios autorizados.

2.2 Robo de datos y respuesta tardía de Medibank#

Una vez dentro del sistema de Medibank, los delincuentes instalaron un script para buscar y extraer información confidencial de los clientes. Comprimieron estos datos y los transfirieron fuera de la red a través de una puerta trasera incorporada. Aunque las herramientas de seguridad de la empresa señalaron actividades sospechosas, no se hizo un seguimiento de estas alertas con la urgencia que requerían. Para cuando el equipo de seguridad de Medibank finalmente actuó y cerró el acceso de los atacantes, ya se habían robado 200 GB de datos personales.

2.3 Demandas de rescate y filtraciones de datos#

La información robada incluía:

• Nombres
• Fechas de nacimiento
• Detalles de pasaportes
• Números de Medicare

Con la posesión de estos datos, los atacantes exigieron un rescate de 10 millones de dólares estadounidenses para evitar que los hicieran públicos. Medibank se negó a pagar, creyendo que hacerlo fomentaría más ataques y, por lo tanto, los delincuentes comenzaron a filtrar partes de los datos en la dark web en respuesta, lo que ejerció una presión adicional sobre la empresa.

3. Vulnerabilidades clave en la seguridad de Medibank#

La brecha de Medibank mostró varias debilidades críticas en las defensas de ciberseguridad de la organización. Al no implementar estos controles de seguridad esenciales, Medibank creó oportunidades para que los atacantes explotaran el acceso privilegiado, navegaran por los sistemas internos y extrajeran datos confidenciales. Aquí están las vulnerabilidades clave que contribuyeron al incidente:

3.1 Falta de protección de credenciales#

La falta de protección de las credenciales privilegiadas por parte de Medibank permitió a los atacantes eludir las medidas de seguridad iniciales, ya que no había 2FA/MFA para luego usar el inicio de sesión dentro del sistema.

3.2 Ausencia del principio de menor privilegio (POLP)#

La cuenta de empleado comprada por los hackers en la dark web tenía más acceso del necesario para realizar las tareas diarias, lo que aumentó el riesgo de compromiso de cuentas con altos privilegios. Esto permitió a los atacantes acceder a datos críticos directamente.

3.3 Segmentación de red insuficiente#

La falta de segmentación de la red facilitó que los atacantes localizaran y extrajeran datos confidenciales. Sin zonas aisladas o controles de acceso robustos, los atacantes pudieron acceder a la base de datos sin encontrar barreras significativas.

3.4 Detección tardía de puertas traseras#

A pesar de detectar finalmente la brecha, la respuesta tardía de Medibank permitió que los atacantes ya descargaran una cantidad significativa de datos antes de cerrar el ciberataque.

4. ¿Cómo se podría haber prevenido la brecha de Medibank?#

Aquí hay cuatro estrategias que podrían haber mitigado o incluso prevenido la brecha de datos de Medibank:

4.1 Implementar capacitación sobre concienciación sobre amenazas cibernéticas#

Enseñar a los empleados cómo reconocer los intentos de phishing y el robo de credenciales puede reducir el riesgo de compromiso inicial, ya que el phishing sigue siendo uno de los métodos más comunes para el robo de credenciales.

4.2 Aplicar el principio de menor privilegio (POLP)#

POLP limita el acceso a sistemas y datos confidenciales solo a aquellos que lo necesitan. Al aplicar POLP, Medibank podría haber ralentizado a los atacantes o haberles impedido acceder a bases de datos críticas por completo.

4.3 Usar autenticación multifactor (MFA)#

MFA agrega una capa adicional de seguridad al requerir pasos de verificación adicionales más allá de una simple contraseña. Según Microsoft, MFA puede prevenir hasta el 98 % de los intentos de compromiso de cuentas. La MFA adaptativa, que ajusta los requisitos en función de los factores de riesgo, proporciona una protección aún mayor.

4.4 Implementar una segmentación de red robusta#

La segmentación de red aísla los datos confidenciales en zonas seguras, lo que dificulta que los atacantes los localicen y accedan a ellos. Para mayor seguridad, los servidores de salto pueden controlar las solicitudes de conexión a estas zonas, lo que reduce el riesgo de acceso no autorizado.

5. Conclusión#

La brecha de datos de Medibank destaca la necesidad crítica de medidas sólidas de ciberseguridad en el panorama digital actual. Al implementar prácticas básicas de seguridad como la protección de credenciales, MFA, POLP y la segmentación de redes, las organizaciones pueden reducir significativamente el riesgo de sufrir un ataque similar.

Este incidente sirve como un claro recordatorio de que proteger los datos confidenciales de los clientes no es solo una obligación legal, sino un aspecto fundamental para mantener la confianza en la era digital.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Cómo ingresaron inicialmente los atacantes a la red de Medibank?#

Los atacantes obtuvieron las credenciales de administrador de Medibank de un dispositivo personal de un proveedor de TI externo que estaba infectado con malware. Debido a que el sistema de acceso remoto de Medibank carecía de autenticación multifactor en ese momento, las credenciales robadas fueron suficientes para iniciar sesión como un usuario autorizado.

¿Qué hizo que la brecha de Medibank fuera tan perjudicial una vez que los atacantes estuvieron dentro de la red?#

Dos debilidades clave amplificaron el daño: la cuenta comprometida tenía privilegios excesivos más allá de lo que requerían las tareas diarias, lo que violaba el principio de menor privilegio, y la segmentación insuficiente de la red significaba que los atacantes podían moverse libremente para localizar y extraer bases de datos confidenciales sin barreras significativas.

¿Qué controles de seguridad habrían prevenido de manera más efectiva la brecha de datos de Medibank?#

La aplicación de MFA en todos los puntos de acceso remoto fue el control faltante más crítico, ya que los datos de Microsoft muestran que MFA bloquea hasta el 98 % de los intentos de compromiso de cuentas. Combinar MFA con el principio de menor privilegio y una sólida segmentación de la red habría detenido o limitado significativamente el ataque incluso si se robaban las credenciales.

¿Por qué las organizaciones deberían evitar pagar rescates después de una brecha de datos como la de Medibank?#

Medibank se negó a pagar el rescate de 10 millones de dólares estadounidenses específicamente porque la empresa creía que el pago fomentaría más ataques contra ellos y otros. A pesar de que la negativa provocó filtraciones de datos en la dark web, esta posición se alinea con la orientación de seguridad más amplia de que los pagos de rescate no garantizan la eliminación de datos e incentivan la repetición de ataques.