15 mayores brechas de datos en Australia [2026]

1. Introducción: ¿Por qué las brechas de datos son un riesgo para todas las organizaciones?#

En el mundo interconectado en el que vivimos, la importancia de la ciberseguridad nunca ha sido más evidente. A medida que evolucionan las tecnologías digitales, también lo hacen las tácticas de los ciberdelincuentes, lo que conduce a un aumento de las brechas de datos en todo el mundo. Entre los países más afectados por este aumento de ciberataques se encuentra Australia, que ha sido testigo de una serie de importantes brechas de datos en los últimos años, impactando a millones de personas. Estas brechas no solo han expuesto información confidencial, sino que también han puesto de relieve la urgente necesidad de soluciones de seguridad avanzadas para proteger los datos de los usuarios.

El camino de Australia hacia convertirse en un líder mundial en ciberseguridad está marcado tanto por desafíos como por progresos. La nación ha tomado medidas proactivas para mejorar la ciberseguridad, con iniciativas como la Estrategia Nacional de Ciberseguridad 2023-2030 (National Cyber Security Strategy 2023-2030), la creación de un Ministerio de Ciberseguridad propio y la implementación del marco Essential Eight. Sin embargo, a pesar de estos esfuerzos, la frecuencia y la magnitud de las brechas de datos continúan aumentando.

Esta publicación del blog ofrece una visión general de las mayores brechas de datos en Australia (por número de usuarios afectados), explora los factores que hacen que el país sea un objetivo atractivo para los ciberdelincuentes y explica por qué incluso las organizaciones no vulneradas están amenazadas ahora.

Hemos recopilado datos de las mayores brechas de datos de diferentes fuentes (por ejemplo, Webber Insurance, Cyber Daily, informe de brechas de datos notificables de la OAIC de julio a diciembre de 2023) con un enfoque específico en 2024 y analizamos las implicaciones de estas brechas para individuos y empresas.

2. ¿Por qué Australia es un objetivo tan atractivo para las brechas de datos?#

Australia ha experimentado un aumento dramático de las brechas de datos, en particular en el primer trimestre de 2024, en el que se vieron comprometidas la asombrosa cifra de 1,8 millones de cuentas de usuarios. Esto representa un asombroso aumento del 388 % desde el último trimestre de 2023, lo que impulsó a Australia a ser la decimoquinta nación más comprometida a nivel mundial.

Desde 2004, alrededor de 37 millones de identificadores de correo electrónico únicos australianos fueron vulnerados, lo que equivale a un promedio de 13 cuentas comprometidas cada minuto. En total, estas brechas han provocado la exposición de un total de 416 millones de registros personales en Australia, incluidos 97 millones de contraseñas (véase más aquí y aquí).

Varios factores contribuyen al atractivo de Australia como objetivo para los ciberdelincuentes:

1. Economía digital en crecimiento y alta conectividad: Australia tiene una economía digital en rápido crecimiento. Esta adopción digital generalizada crea un gran grupo de objetivos potenciales, desde usuarios individuales hasta grandes corporaciones. Además, el alto nivel de conectividad de Australia, con una población experta en tecnología e infraestructura digital avanzada, la convierte en un objetivo lucrativo para los ciberdelincuentes.

Extraído del Informe de brechas de datos notificables de julio a diciembre de 2023

2. El mercado negro paga sumas récord por datos personales: El valor de los datos personales en el mercado negro se ha disparado, lo que hace que la riqueza de información digital de Australia sea muy deseable. Los ciberdelincuentes se sienten particularmente atraídos por los datos financieros, los registros sanitarios y las bases de datos gubernamentales.
3. Desafíos en la preparación para la ciberseguridad: A pesar de las importantes inversiones en ciberseguridad, muchas organizaciones australianas aún se enfrentan a desafíos para implementar y mantener completamente las medidas de seguridad. Una encuesta de Cloudflare reveló que el 41 % de las empresas australianas experimentaron al menos una brecha de datos en el último año, y un 33 % informó de 11 o más brechas en el mismo período. Esto sugiere que, si bien la concienciación está creciendo, la ejecución de estrategias eficaces de ciberseguridad sigue siendo inconsistente, lo que deja a muchas organizaciones vulnerables a los ataques.

Extraído del Informe de brechas de datos notificables de julio a diciembre de 2023

4. Importancia estratégica y centro de innovación: La importancia estratégica de Australia en la región de Asia-Pacífico, unida a su reputación como centro de innovación, también la convierte en un objetivo para el ciberespionaje y los ataques patrocinados por estados. Como líder en probar y adoptar nuevas tecnologías, Australia se encuentra a menudo en el punto de mira de aquellos que buscan interrumpir o explotar los sistemas digitales de vanguardia antes de que estén completamente protegidos.
5. Mayor enfoque en la ciberseguridad por parte del gobierno: El enfoque del gobierno australiano en la ciberseguridad, ejemplificado en iniciativas como la Estrategia Nacional de Ciberseguridad 2023-2030 y el nombramiento de un Ministro de Ciberseguridad dedicado, ha aportado tanto beneficios como riesgos. Si bien estos esfuerzos tienen como objetivo fortalecer las defensas de la nación, también atraen la atención de atacantes sofisticados que buscan desafiar y eludir las nuevas medidas de seguridad.

El aumento de las brechas de datos en Australia resalta la necesidad de una buena postura en ciberseguridad. A medida que el país se esfuerza por convertirse en un líder en este campo para 2030, debe abordar las vulnerabilidades existentes y basarse en sus iniciativas para crear un entorno digital más resiliente. Soluciones como las claves de acceso (passkeys), que ofrecen autenticación multifactor resistente al phishing, representan un importante paso adelante para proteger los datos de los usuarios y mejorar la ciberseguridad general. Además, los esfuerzos combativos como la monitorización de la dark web y el intercambio de inteligencia sobre ciberamenazas ayudarán al país a prepararse para posibles ataques y a reducir el impacto de las brechas de datos. Al invertir en nuevas tecnologías, Australia no solo puede defenderse de las amenazas cibernéticas, sino también convertirse en un líder mundial en ciberseguridad.

3. Brechas de datos notables recientes en Australia#

A continuación, encontrará una lista de las mayores brechas de datos en Australia. Las brechas de datos están ordenadas por el número de cuentas de clientes afectadas en orden descendente. La lista se centra en las empresas con sede en Australia y no en las empresas internacionales en las que se vieron implicados datos de ciudadanos australianos.

3.1 Brecha de datos de Canva#

En mayo de 2019, el unicornio tecnológico australiano Canva fue víctima de una importante brecha de datos que comprometió la información personal de 137 millones de usuarios en todo el mundo. La brecha fue orquestada por un pirata informático que operaba bajo el alias "Gnosticplayers", que logró infiltrarse en los sistemas de Canva y acceder a datos confidenciales de los usuarios. El equipo de seguridad de Canva detectó el ataque mientras estaba en curso, pero el pirata informático ya había exfiltrado un gran volumen de datos cuando se le detuvo.

Curiosamente, en lugar de la práctica habitual de vender los datos robados en foros de la dark web, el pirata informático se puso en contacto directamente con un medio de comunicación, ZDNet, para alardear de la brecha. Este acto de divulgación pública es poco común en el mundo de los ciberdelincuentes, donde la anonimato suele mantenerse para eludir la acción de la justicia.

Tras la brecha, Canva informó rápidamente a los usuarios afectados, instando a aquellos con contraseñas descifradas a restablecerlas de inmediato. Además, la empresa implementó un restablecimiento obligatorio de contraseña para las cuentas que no habían actualizado sus contraseñas en los seis meses anteriores.

3.2 Brecha de datos de Latitude#

En marzo de 2023, Latitude Financial, un destacado proveedor de préstamos personales y servicios financieros de Australia, sufrió una de las brechas de datos más significativas de la historia reciente del país. Inicialmente, Latitude informó de que aproximadamente 328.000 clientes se vieron afectados. Sin embargo, a medida que se desarrollaba la investigación, quedó claro que la brecha había comprometido la información personal de más de 14 millones de personas en toda Australia y Nueva Zelanda.

La brecha se produjo cuando un ciberdelincuente obtuvo acceso a los sistemas de Latitude utilizando un conjunto robado de credenciales de empleados. Este acceso no autorizado permitió al atacante exfiltrar una gran cantidad de datos confidenciales de clientes, incluidos nombres, información de contacto y detalles de identificación como números de permiso de conducir y de pasaporte. La brecha fue particularmente alarmante porque gran parte de los datos comprometidos databan de 2005, lo que planteó dudas sobre por qué registros tan antiguos seguían almacenados más allá del período de retención obligatorio.

El gobierno australiano respondió considerando medidas más contundentes, como ampliar las competencias de las agencias cibernéticas federales para intervenir en las brechas del sector privado. Latitude está actualmente siendo investigada por la forma en que gestionó la brecha, y surgen preguntas sobre sus prácticas de seguridad y si la empresa tomó las medidas suficientes para evitar un ataque de este tipo.

3.3 Brecha de datos de MediSecure#

En mayo de 2024, MediSecure, un actor clave en los servicios de entrega de recetas de Australia, sufrió una importante brecha de datos que expuso la información personal de 12,9 millones de individuos. MediSecure, que era uno de los dos únicos servicios que facilitaban la transmisión electrónica y en papel de recetas de médicos a farmacias, se convirtió en el objetivo de un ataque de ransomware que comprometió una vasta base de datos que contenía información confidencial de pacientes. Los datos vulnerados incluían nombres, direcciones e información de salud vinculada a las recetas surtidas antes de noviembre de 2023.

El ataque tuvo consecuencias graves, no solo para las personas cuyos datos de salud quedaron expuestos, sino también para MediSecure como empresa. A raíz de la brecha, MediSecure se vio obligada a entrar en un proceso de administración, en el cual un administrador externo se hace cargo de una empresa con problemas financieros en un intento de reestructurar sus operaciones y gestionar los pagos a los acreedores. El incidente destacó las vulnerabilidades críticas en los sistemas de TI del sector sanitario y el impacto devastador que tales brechas pueden tener tanto para consumidores como para las empresas.

El gobierno australiano, junto con varias agencias reguladoras, intervino rápidamente para gestionar las consecuencias de la brecha. Su respuesta incluyó esfuerzos para mitigar el impacto en las personas afectadas y garantizar que las vulnerabilidades similares se aborden en otros sistemas de salud.

3.4 Brecha de datos de Optus#

La brecha de datos de Optus en septiembre de 2022 afectó a casi 9,8 millones de clientes, lo que equivale a casi el 40 % de la población del país. Como segundo mayor proveedor de telecomunicaciones de Australia, Optus se convirtió en el objetivo de un sofisticado ciberataque, presuntamente orquestado por un grupo patrocinado por un Estado. Los atacantes accedieron a la red interna de Optus y exfiltraron una amplia gama de información personal confidencial, incluidos nombres, fechas de nacimiento, direcciones y números de identificación como pasaportes, permisos de conducir y números de tarjetas de Medicare.

Se cree que la brecha fue facilitada a través de un endpoint de API no seguro, lo que permitió a los atacantes eludir las medidas de autenticación y obtener acceso directo a los datos. Esta vulnerabilidad en el sistema de Optus generó serias dudas sobre la idoneidad de las medidas de ciberseguridad implementadas, especialmente en el caso de las empresas que manejan volúmenes tan grandes de datos personales.

Tras la brecha, los atacantes publicaron muestras de los datos robados en foros online y exigieron un rescate de 1,5 millones de dólares australianos en criptomonedas. Sin embargo, bajo la presión de las fuerzas del orden y, posiblemente, temiendo mayores repercusiones, el pirata informático retiró la exigencia de rescate solo unos días después, afirmó haber eliminado los datos robados y emitió una disculpa en el mismo foro en el que se publicó inicialmente el rescate.

La brecha de Optus provocó críticas generalizadas sobre la infraestructura de ciberseguridad de Australia e impulsó una demanda colectiva que involucró a 1,2 millones de clientes afectados en abril de 2023.

3.5 Brecha de datos de Medibank#

En diciembre de 2022, Medibank, uno de los mayores proveedores de seguros de salud de Australia, fue objeto de una gran brecha de datos que comprometió la información personal de 9,7 millones de clientes. Se cree que la brecha, orquestada por el famoso grupo de ransomware REvil, con sede en Rusia, incluyó el robo de datos altamente confidenciales, incluidos registros médicos e información sobre reclamaciones.

El incidente salió a la luz cuando REvil publicó muestras de datos sin procesar de 6 GB en un blog de la dark web, acompañadas de una demanda de rescate de 10 millones de dólares. La publicación de estos datos sirvió como una sombría advertencia, indicando que los atacantes poseían un botín mucho mayor de información confidencial. A pesar de la inmensa presión, Medibank se mantuvo firme y se negó a pagar el rescate, una decisión que fue tanto elogiada como escrutada por los expertos en ciberseguridad y el público por igual.

Tras la negativa de Medibank a cumplir con las exigencias del rescate, se informó de que los datos robados se publicaron en su totalidad en la dark web. Sin embargo, hasta la fecha, no ha habido casos confirmados de robo de identidad o fraude financiero directamente vinculados con la brecha. En respuesta al ataque, Medibank instó a sus clientes a mantenerse alerta, especialmente en lo que respecta a comprobaciones de crédito e intentos de phishing, al tiempo que comprometió importantes recursos para reforzar sus defensas de ciberseguridad.

La brecha ha provocado múltiples investigaciones, incluida una importante indagación por parte de la Oficina del Comisionado de Información de Australia (OAIC) sobre las prácticas de gestión de datos de Medibank. De determinarse que hubo negligencia en sus medidas de ciberseguridad, Medibank podría enfrentarse a multas severas, de hasta 21,5 billones (!) de dólares.

Esta brecha no solo ha puesto de relieve los riesgos asociados con el manejo de datos confidenciales en el sector sanitario, sino que también ha subrayado las posibles consecuencias para las organizaciones que no implementan las protecciones adecuadas de ciberseguridad.

3.6 Brecha de datos de Qantas#

En junio de 2025, Qantas, la mayor aerolínea de Australia, experimentó una importante brecha de datos que potencialmente afectó a hasta 6 millones de clientes. La brecha se produjo a través de un sofisticado ataque de ingeniería social dirigido al centro de llamadas de Qantas en Manila, poniendo de relieve las vulnerabilidades que podrían mitigarse con un software de centro de llamadas avanzado. Un ciberdelincuente se hizo pasar por un empleado de la empresa, y obtuvo acceso no autorizado a una plataforma de atención al cliente de terceros, exfiltrando información confidencial de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y números de viajero frecuente.

Qantas informó rápidamente a los clientes afectados, confirmando que no se habían visto comprometidos datos financieros, datos de pasaporte ni contraseñas de cuentas. La brecha suscitó preocupación respecto a la seguridad de subcontratar funciones críticas de atención al cliente y ha impulsado a Qantas a revisar y reforzar sus medidas de seguridad. La directora general (CEO), Vanessa Hudson, se disculpó públicamente, aceptó su responsabilidad y se comprometió a realizar mejoras integrales para evitar futuros incidentes.

3.7 Brecha de datos de Early Settler#

En agosto de 2024, Early Settler, un conocido minorista australiano de muebles y artículos para el hogar, experimentó una importante brecha de datos que expuso la información personal de 1,1 millones de clientes.

La brecha se detectó tras descubrirse un acceso no autorizado a la base de datos de clientes de Early Settlers, aunque el método específico de la brecha no se ha revelado públicamente. La empresa notificó inmediatamente a los clientes afectados y les instó a estar alerta ante posibles intentos de phishing y otras formas de fraude de identidad que podrían resultar de la información expuesta.

En respuesta a la brecha, Early Settlers se comprometió a mejorar sus medidas de ciberseguridad para evitar futuros incidentes y aseguró a los clientes que estaban tomando todas las medidas necesarias para proteger sus datos.

3.8 Brecha de datos de Clubs NSW#

En mayo de 2024, Clubs NSW, el organismo principal que representa a los clubes registrados de Nueva Gales del Sur, Australia, sufrió una brecha de datos que comprometió la información personal de aproximadamente 1 millón de socios. La brecha implicó un acceso no autorizado a datos confidenciales, incluidos nombres completos, direcciones de correo electrónico, detalles de afiliación, números de teléfono y direcciones físicas.

La brecha constituyó una preocupación importante debido a la exposición de información de afiliación, la cual podría usarse para llevar a cabo ataques de phishing, robos de identidad y otras actividades maliciosas. Tras descubrir la brecha, Clubs NSW notificó rápidamente a los socios afectados y les aconsejó que tuvieran precaución con comunicaciones sospechosas que pudieran aprovechar la información comprometida.

El método exacto del ataque no ha sido revelado, pero pone de manifiesto las vulnerabilidades en las organizaciones que manejan grandes volúmenes de datos personales y de afiliación. Este incidente también llamó la atención sobre la necesidad de mejorar las prácticas de ciberseguridad dentro de las asociaciones y organizaciones basadas en membresías, que tal vez no siempre priorizan la protección de datos con el mismo rigor que las corporaciones más grandes.

En respuesta a la brecha, Clubs NSW tomó medidas para reforzar su infraestructura de seguridad y colaboró con expertos en ciberseguridad para evitar futuros incidentes.

3.9 Brecha de datos de ProctorU#

En julio de 2020, ProctorU, un servicio de vigilancia de exámenes online muy utilizado por estudiantes remotos, se vio envuelto en una importante brecha de datos que expuso las direcciones de correo electrónico de 444.000 usuarios. La brecha formaba parte de una filtración de datos más grande que afectó a 18 empresas y comprometió la asombrosa cantidad de 386 millones de registros en total.

A pesar de la gravedad de la brecha, ProctorU informó que no se vio comprometida ninguna información financiera ni otros datos personales confidenciales. Sin embargo, la exposición de direcciones de correo electrónico, en particular de las vinculadas a instituciones educativas destacadas, planteó preocupaciones sobre posibles ataques de phishing y otras actividades maliciosas dirigidas a los usuarios afectados.

Este incidente puso de relieve las vulnerabilidades de los servicios online que se han vuelto cada vez más esenciales en la era del aprendizaje remoto.

3.10 Brecha de datos de Tangerine Telecom#

En febrero de 2024, Tangerine Telecom, un popular proveedor de telecomunicaciones australiano, experimentó una brecha de datos que expuso la información personal de 232.000 clientes. Los datos comprometidos incluían nombres completos, fechas de nacimiento, números de teléfono móvil, direcciones de correo electrónico, direcciones postales y números de cuenta de Tangerine. Esta brecha generó gran preocupación por la naturaleza detallada de la información expuesta, que podría aprovecharse para suplantación de identidad y ataques de phishing dirigidos.

La brecha fue descubierta al detectarse un acceso no autorizado a la base de datos de clientes de Tangerine. Aunque la empresa actuó con rapidez para contener la brecha y notificó a los clientes afectados, el incidente evidenció las vulnerabilidades en las medidas de seguridad de las empresas de telecomunicaciones, que manejan grandes volúmenes de datos confidenciales de sus clientes.

Tras la brecha, Tangerine Telecom aseguró a los clientes que no se comprometió información financiera ni contraseñas, pero los datos expuestos seguían siendo suficientes para causar posibles daños. La empresa instó a sus clientes a estar alerta ante comunicaciones sospechosas y a vigilar sus cuentas en busca de cualquier actividad inusual.

3.11 Brecha de datos de la Universidad Nacional de Australia (ANU)#

En noviembre de 2018, la Universidad Nacional de Australia (ANU) sufrió un ciberataque muy sofisticado que comprometió la información personal confidencial de unas 200.000 personas. Esta brecha, una de las más complejas de la historia de Australia, pasó desapercibida durante casi seis meses, lo que permitió a los atacantes acceder a datos que se remontan hasta 19 años atrás.

Los atacantes utilizaron una serie de cuatro campañas de spear-phishing para infiltrarse en la red de la ANU. La brecha inicial se produjo cuando un alto cargo abrió sin saberlo un correo electrónico malicioso, otorgando a los atacantes las credenciales que necesitaban para penetrar más profundamente en los sistemas de la universidad. Una vez dentro, los atacantes accedieron al Enterprise Systems Domain (ESD) de la ANU, donde estaban almacenados los registros más confidenciales de la universidad, como datos personales, números de identificación fiscal, información de nóminas e incluso resultados académicos de los estudiantes.

Los atacantes demostraron un alto nivel de sofisticación al borrar meticulosamente su rastro. Eliminaron inmediatamente los registros de acceso para eliminar cualquier prueba de sus actividades y utilizaron Tor, un software diseñado para anonimizar la actividad en línea, con el fin de ocultar su ubicación. Este nivel de seguridad operativa retrasó significativamente la detección de la brecha.

En un intento adicional por ampliar su acceso, los atacantes utilizaron la cuenta de correo electrónico comprometida del miembro del personal para enviar una segunda ronda de correos de phishing, invitando a otros altos cargos de la universidad a un evento falso. Esto amplió el alcance del ataque y aumentó los posibles daños.

A pesar de la gravedad de la brecha, no hay pruebas confirmadas de que los datos robados hayan sido explotados. Sin embargo, el incidente impulsó a la ANU a invertir millones de dólares en la mejora de su infraestructura de ciberseguridad para evitar futuras brechas.

3.12 Brecha de datos de Service NSW#

En abril de 2020, Service NSW, la agencia del gobierno de Nueva Gales del Sur responsable de la prestación de diversos servicios a los residentes, experimentó una importante brecha de datos que expuso la información personal de 104.000 personas. La brecha se inició mediante una serie de ataques de phishing que lograron comprometer con éxito las cuentas de correo electrónico de 47 empleados. Los atacantes accedieron a unos 5 millones de documentos, el 10 % de los cuales contenían datos personales confidenciales.

La brecha fue especialmente preocupante por el gran volumen de datos a los que se accedió y la naturaleza confidencial de la información implicada. Los datos comprometidos probablemente incluían datos personales, como nombres, direcciones, información de contacto y posiblemente otra información crítica de identificación, aunque no se revelaron en su totalidad los tipos específicos de datos expuestos.

Un factor importante que contribuyó al éxito de la brecha fue la ausencia de autenticación multifactor (MFA) en las cuentas comprometidas. Sin esta capa de seguridad adicional, los atacantes pudieron conseguir y mantener fácilmente el acceso a las cuentas de correo electrónico, moviéndose lateralmente por la red para recopilar grandes cantidades de datos confidenciales.

En respuesta a la brecha, Service NSW emprendió una revisión exhaustiva de sus prácticas de seguridad y empezó a aplicar medidas de seguridad más estrictas, como el despliegue de MFA en todos sus sistemas.

3.13 Brecha de datos de Hey You#

En junio de 2024, Hey You, una popular aplicación australiana para pedir alimentos y bebidas, sufrió una brecha de datos que expuso la información personal de aproximadamente 100.000 clientes. La brecha comprometió datos confidenciales de los clientes, como nombres completos, direcciones de correo electrónico, números de teléfono, direcciones de entrega e historial de pedidos. Esta exposición de datos planteaba riesgos significativos, especialmente en términos de posibles robos de identidad y ataques de phishing.

La brecha fue descubierta al detectarse un acceso no autorizado a la base de datos de Hey You. Aunque Hey You garantizó a sus clientes que no se había comprometido información financiera o de pagos, la brecha recalcó la importancia de proteger incluso los datos aparentemente menos importantes. Información como el historial de pedidos y las direcciones de entrega, combinada con otros datos personales, puede ser utilizada por ciberdelincuentes con diversos fines maliciosos.

En respuesta a la brecha, Hey You aplicó medidas de seguridad adicionales para evitar futuros incidentes y trabajó estrechamente con expertos en ciberseguridad para reforzar sus protocolos de protección de datos. La empresa también aconsejó a los clientes desconfiar de cualquier comunicación inusual y controlar sus cuentas para detectar signos de actividad no autorizada.

3.14 Brecha de datos de Telstra#

En abril de 2024, Telstra, uno de los mayores proveedores de telecomunicaciones de Australia, hizo pública una brecha de datos que expuso la información personal de aproximadamente 47.000 clientes. Los datos comprometidos incluían nombres, direcciones de correo electrónico y números de teléfono. La brecha se hizo pública cuando un conjunto de datos que contenía esta información se publicó en un foro de piratería, lo que generó preocupación sobre el posible uso indebido de los datos expuestos.

Aunque, según se informó, el conjunto de datos incluía una cantidad considerable de datos falsos, la exposición de información real de clientes seguía planteando graves riesgos, en particular en lo que se refiere al robo de identidad y las estafas dirigidas de phishing. Aunque Telstra aclaró que la brecha no fue resultado de un ciberataque directo a sus sistemas, el incidente destacó los constantes desafíos que supone proteger los datos de los clientes frente al acceso y la distribución no autorizados.

Como respuesta a la brecha, Telstra tomó medidas para evaluar el alcance de la exposición y trabajó para asegurar a los clientes que la información más confidencial, como los datos financieros, no se había visto comprometida.

Por otra parte, Telstra introdujo las claves de acceso (passkeys) como solución MFA resistente al phishing para los consumidores.

3.15 Brecha de datos de Sumo#

En mayo de 2024, Sumo, un proveedor australiano de energía y telecomunicaciones, experimentó una brecha de datos que comprometió la información personal de unos 40.000 clientes. La brecha implicó el acceso no autorizado a datos confidenciales de los clientes, como nombres completos, direcciones de correo electrónico, números de teléfono, direcciones de facturación y detalles de la cuenta. Esta información podría explotarse potencialmente para robos de identidad, esquemas de phishing y otras actividades maliciosas.

La brecha fue descubierta tras detectar actividad inusual en los sistemas de Sumo, lo que desencadenó una investigación inmediata. Aunque no se notificó que la información financiera, como los datos de tarjetas de crédito, formara parte de los datos comprometidos, la información expuesta era suficiente para poner en peligro a los clientes afectados. Sumo aconsejó a sus clientes permanecer en alerta, especialmente respecto a comunicaciones inesperadas, y supervisar sus cuentas para detectar cualquier actividad inusual.

En respuesta a la brecha, Sumo implementó medidas de seguridad mejoradas y trabajó en estrecha colaboración con expertos en ciberseguridad para reforzar sus defensas contra futuros ataques.

4. La creciente amenaza del credential stuffing: ¿por qué importa a todas las empresas?#

Hemos visto que muchas empresas han sido vulneradas y que, probablemente, los datos de casi todos los australianos formen parte de alguna de esas brechas. Centrémonos ahora en la amenaza que se deriva de una brecha de datos de este tipo, incluso si la organización vulnerada cambia inmediatamente todas las contraseñas. Es probable que la mayor preocupación sea el relleno de credenciales o credential stuffing.

4.1 ¿Qué es el credential stuffing?#

El credential stuffing (relleno de credenciales) es un tipo de ciberataque en el que los piratas informáticos utilizan herramientas automatizadas para probar grandes volúmenes de combinaciones de nombres de usuario y contraseñas, a menudo procedentes de anteriores brechas de datos, para conseguir acceso no autorizado a las cuentas de los usuarios. A diferencia de los ataques de fuerza bruta, que prueban combinaciones aleatorias, el credential stuffing se basa en el hecho de que muchas personas reutilizan sus contraseñas en varios sitios. Esto facilita a los atacantes la violación de cuentas, utilizando las credenciales de inicio de sesión comprometidas en una brecha para atacar las cuentas en otras plataformas.

Extraído del Informe de brechas de datos notificables de julio a diciembre de 2023

4.2 El vínculo entre las brechas de datos y el credential stuffing#

Las brechas de datos son el combustible principal para los ataques de credential stuffing. Cuando se vulnera la base de datos de una empresa, las credenciales robadas —que a menudo incluyen nombres de usuario, direcciones de correo electrónico y contraseñas— se pueden vender o compartir en foros de la dark web. A continuación, los ciberdelincuentes utilizan estas credenciales para lanzar ataques de credential stuffing contra otros servicios, sabiendo que un porcentaje significativo de usuarios reutiliza contraseñas en diferentes sitios.

Por ejemplo, si el correo electrónico y la contraseña de un usuario han quedado expuestos en una brecha en una red social, los atacantes podrían usar las mismas credenciales para intentar acceder a las cuentas bancarias, de compras o de correo electrónico del usuario. Esto puede provocar grandes pérdidas financieras, robos de identidad y un acceso no autorizado a información confidencial, incluso para las empresas que no han sido vulneradas directamente.

4.3 ¿Por qué el credential stuffing es un problema para todas las empresas?#

Incluso si su empresa no ha sufrido ninguna brecha de datos, sigue en riesgo de sufrir intrusiones provocadas por el credential stuffing. Los atacantes que usan credenciales procedentes de otras brechas pueden apuntar a las cuentas de sus usuarios, y potencialmente acceder a datos confidenciales, hacer transacciones fraudulentas o poner en peligro sus sistemas. Esto no solo supone una amenaza de seguridad, sino que también daña la reputación de la marca y puede provocar pérdidas financieras debido al fraude y la pérdida de clientes.

En virtud del esquema de Brechas de Datos Notificables de Australia, las empresas están obligadas a notificar a los individuos si sus datos se han visto comprometidos. Sin embargo, las implicaciones del credential stuffing van más allá de la mera notificación a los usuarios. Las empresas deben ser proactivas en la prevención de estos ataques mediante la implantación de medidas de seguridad más estrictas, como la autenticación multifactor (MFA), la supervisión de intentos sospechosos de inicio de sesión y la adopción de herramientas que detecten las credenciales comprometidas antes de que puedan ser explotadas.

4.4 Cómo protegerse contra el credential stuffing#

Para las personas, herramientas como Have I Been Pwned permiten comprobar si sus direcciones de correo electrónico se han visto involucradas en alguna brecha de datos, ayudándolas a tomar medidas para protegerse. Las empresas pueden usar recursos parecidos, como HudsonRock, que les permite comprobar si su dominio está asociado a cuentas comprometidas y proporcionan alertas tempranas sobre posibles ataques de credential stuffing.

5. Australia se enfrenta a una amenaza significativa de credential stuffing#

Australia ostenta el lamentable honor de tener una de las tasas de brechas de datos per cápita más altas del mundo. El análisis de las brechas recientes, como se describe más arriba, revela que incluso algunas de las organizaciones más grandes y fiables del país han sido víctimas de ciberataques. Esta exposición generalizada de datos confidenciales aumenta en gran medida el riesgo de ataques de credential stuffing, particularmente para los usuarios que habitualmente reutilizan sus contraseñas en múltiples plataformas.

Teniendo en cuenta las brechas a gran escala en instituciones importantes, como proveedores de telecomunicaciones, servicios financieros y entidades educativas, es muy probable que una gran cantidad de credenciales australianas estén circulando en la dark web. Estas credenciales comprometidas pueden ser aprovechadas por ciberdelincuentes para obtener acceso no autorizado a varias cuentas, suponiendo una grave amenaza tanto para particulares como para empresas.

Además, la avanzada infraestructura de e-government de Australia, que permite a los ciudadanos interactuar con los servicios gubernamentales de forma en línea, se ha convertido en un objetivo atractivo para los atacantes. El alto grado de digitalización de las plataformas gubernamentales hace que estas constituyan un objetivo principal para los ataques de credential stuffing, lo que acentúa aún más la necesidad de contar con medidas de ciberseguridad sólidas en todos los sectores en Australia.

6. Cómo las claves de acceso pueden ayudar a prevenir las brechas de datos y el credential stuffing#

Las claves de acceso (passkeys) son una gran solución a las vulnerabilidades que suelen conducir a las brechas de datos y al credential stuffing. Utilizan una combinación de una clave privada almacenada en el dispositivo del usuario y una clave pública almacenada en el servidor. Incluso si un pirata informático obtiene la clave pública de un usuario o pone en peligro el servidor, no puede iniciar sesión sin la clave privada correspondiente, que se almacena de forma segura en el dispositivo del usuario (en el TPM o secure enclave).

Las claves de acceso también evitan de forma efectiva los ataques de credential stuffing. Dado que las claves de acceso no implican contraseñas que puedan ser reutilizadas en varios sitios, la premisa básica del credential stuffing se vuelve obsoleta. Incluso si un pirata informático obtiene información de inicio de sesión de otro sitio vulnerado, no podrá utilizarla para acceder a una cuenta protegida mediante claves de acceso. Esto es especialmente crucial en un país como Australia, donde la alta tasa de brechas de datos significa que existe un gran número de credenciales potencialmente comprometidas en la dark web.

Veamos cómo podría llevarse a cabo el lanzamiento de las claves de acceso para prevenir las brechas de datos y el credential stuffing. Por lo tanto, recomendamos trabajar en cuatro fases.

1. Fase: Introducción de las claves de acceso

   En la fase inicial, debe integrar las claves de acceso en su producto y ofrecer la creación de claves de acceso de manera proactiva en la configuración de la cuenta y si los usuarios inician sesión con éxito con los métodos tradicionales (véase también la actualización automática a claves de acceso).

2. Fase: Lograr que los usuarios utilicen las claves de acceso como método de autenticación principal

   Aplique un enfoque "passkey-first" (claves de acceso primero) que fomente el uso de las claves de acceso para iniciar sesión con la mayor frecuencia posible y como método de autenticación principal. Se sigue ofreciendo la autenticación tradicional, pero no se promociona de forma activa.

3. Fase: Proporcionar otras opciones de autenticación solo como método de reserva y recuperación de claves de acceso
   Solo en los dispositivos que no están preparados para las claves de acceso, si no hay ninguna clave de acceso disponible o si el usuario cancela el proceso de inicio de sesión con clave de acceso, puede utilizarse un método de autenticación existente.

4. Fase: Mejorar la seguridad general eliminando las contraseñas de su sistema
   Si tiene una tasa de adopción de claves de acceso lo suficientemente alta, puede comenzar a eliminar las contraseñas para mejorar aún más la seguridad y hacer que las credenciales filtradas resulten inútiles.

7. Conclusión#

A medida que Australia se enfrenta a un número cada vez mayor de brechas de datos, la amenaza del credential stuffing se ha convertido en una preocupación significativa tanto para las organizaciones como para las personas. La exposición generalizada de información confidencial en diversos sectores subraya la necesidad urgente de tomar medidas de ciberseguridad más contundentes. Las claves de acceso, con sus avanzadas funciones de seguridad, ofrecen una solución prometedora a estos desafíos, mitigando eficazmente los riesgos asociados a los sistemas tradicionales basados en contraseñas. Al adoptar tecnologías innovadoras como las claves de acceso, Australia puede fortalecer sus defensas contra las amenazas informáticas y proteger las identidades digitales de sus ciudadanos y empresas. A medida que avanzamos, es fundamental que tanto las organizaciones como las personas se mantengan alerta y adopten las mejores prácticas para proteger sus datos en un entorno digital en constante evolución.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Cuál es la mayor brecha de datos en la historia de Australia por número de usuarios afectados?#

La brecha de Canva en mayo de 2019 es la mayor por volumen, comprometiendo 137 millones de cuentas de usuarios en todo el mundo, incluidas contraseñas cifradas y datos parciales de pago. El atacante, conocido como 'Gnosticplayers', fue detectado a mitad de la operación, pero ya había exfiltrado grandes cantidades de datos antes de ser detenido.

¿Cómo una brecha de datos en otra empresa pone a mi organización en riesgo de credential stuffing?#

Los ataques de credential stuffing utilizan combinaciones de nombres de usuario y contraseñas robadas de una brecha para intentar iniciar sesión en plataformas completamente diferentes, explotando el hábito generalizado de reutilizar contraseñas en varios sitios. Incluso si su organización nunca ha sido vulnerada directamente, los atacantes pueden apuntar a las cuentas de sus usuarios utilizando credenciales obtenidas de brechas no relacionadas y vendidas en foros de la dark web.

¿Qué obligaciones legales tiene una empresa australiana tras una brecha de datos?#

Bajo el esquema de Brechas de Datos Notificables (Notifiable Data Breaches) de Australia, las empresas deben notificar a las personas afectadas cuando sus datos personales han sido comprometidos. Las consecuencias de las prácticas de seguridad negligentes pueden ser severas: la investigación de la brecha de Medibank planteó la posibilidad de una multa de hasta 21,5 billones de dólares estadounidenses, lo que ilustra el enorme riesgo financiero de unas medidas de ciberseguridad inadecuadas.

¿Por qué las organizaciones sanitarias y financieras son objetivos principales en las brechas de datos australianas?#

Las organizaciones sanitarias y financieras poseen datos que alcanzan precios muy altos en los mercados negros, incluidos registros médicos, identificaciones gubernamentales y detalles financieros. El ataque de ransomware a MediSecure en mayo de 2024 expuso la información médica de 12,9 millones de australianos y fue tan devastador económicamente que la empresa se vio obligada posteriormente a entrar en un proceso de administración.