Incidentes y vulnerabilidades
Capital One, Equifax, Log4Shell, Heartbleed, XZ: brechas y vulnerabilidades públicas desglosadas en causa, impacto, primera respuesta y prevención, por las lecciones que siguen vigentes.
Filtración masiva de MOVEit (2023) — cómo un zero-day de inyección SQL alcanzó a más de 2.700 organizaciones, y cómo defenderse
La entrada fue un zero-day de inyección SQL (CVE-2023-34362) en MOVEit Transfer, expuesto a internet. Se plantó un web shell (LEMURLOOT) y se robaron datos en masa de la base de datos de respaldo, golpeando a más de 2.700 organizaciones y ~93,3M de personas. La mayoría de las víctimas fueron arrastradas indirectamente porque un proveedor usaba MOVEit. En tu entorno: parcheo rápido de KEV, minimizar la exposición, mínimo privilegio y segmentación web↔BD, inventario de proveedores y minimización de datos.
Filtración de Capital One (2019) — cómo un SSRF expuso más de 100M de registros, y cómo defenderse
Un solo SSRF alcanzó el endpoint de metadatos → credenciales IAM temporales con privilegios excesivos → copia masiva de S3, filtrando ~106M de registros. Cada salto pudo haberlo detenido. En tu entorno: IMDSv2, IAM de mínimo privilegio y una lista de permitidos para las peticiones salientes.
Filtración de Codecov (2021) — cuando una «herramienta de confianza» del CI fue secuestrada y se filtraron secretos
Una herramienta de confianza del CI (el Bash Uploader curl|bash) fue alterada en origen. Como tu propio código quedó intacto, pasó ~2 meses inadvertida mientras se filtraban secretos del CI; una verificación de checksum lo detectó. En tu CI: verifica los artefactos descargados, secretos de mínimo privilegio, rotación, monitorización de salida.
Filtración de Equifax (2017) — cómo un fallo de Apache Struts sin parchear expuso a 147M de personas
La causa fue un CVE conocido y ya parcheado (CVSS 10.0) dejado sin aplicar en un sistema público. Un certificado de monitorización caducado ocultó la exfiltración durante 76 días. En tu entorno: inventario de activos, un SLA de parcheo, monitorización automática y detección saludable.
Heartbleed (CVE-2014-0160) — cuando se filtró memoria desde los cimientos del tráfico cifrado
La sobrelectura de memoria de OpenSSL podía filtrar claves privadas y sesiones. La causa: el servidor confiaba en una longitud declarada y leía memoria adyacente. La lección: actúa como si todo se hubiera filtrado —reemite certificados, rota todos los secretos— más el peso del software fundacional y la seguridad de memoria.
Log4Shell (CVE-2021-44228) — la noche en que el mundo temió un fallo que ni siquiera podía confirmar tener
El fallo de CVSS 10.0 de Log4j. El verdadero miedo era la dependencia transitiva: estar afectado a través de una librería que no sabías que usabas. Un camino pasivo de registro de logs se convirtió en vector de ataque. SBOM, monitorización automática, parcheo rápido y seguir los CVE de seguimiento son las lecciones.
La puerta trasera de XZ Utils (CVE-2024-3094) — cuando la confianza misma era el objetivo
Un mantenedor de confianza plantó una puerta trasera en xz: un ataque a la cadena de suministro. El «esto va lento» de un ingeniero lo detectó justo antes de la estable. El objetivo no era el código, sino las personas y la confianza. Minimiza dependencias, fija versiones, compila de forma reproducible, persigue anomalías y apoya a los mantenedores.