El nombre dado a una vulnerabilidad hallada en uno de los sistemas que usamos para comunicarnos con seguridad en internet.
En aquel momento, como suele ser el caso de las nuevas vulnerabilidades, no teníamos ni idea en la forma en la que se explotó.
En lo que los investigadores llaman el mayor robo de datos de clientes de instituciones financieras de la historia, Heartbleed fue utilizada para obtener acceso a una firma financiera que ha sido apodada como Víctima 2, con sede en Boston.
Pero este es sólo un ángulo de este enorme ataque.
El daño real parece que fue hecho con un poco de ingeniería social, ejecutada de tal manera que muestra lo difícil que es defenderse de determinados delincuentes cibernéticos.
Según los investigadores, los hackers tuvieron acceso a varias redes pertenecientes a JP Morgan y a otras seis instituciones financieras estadounidenses, haciéndose con datos personales que utilizaron para manipular precios de las acciones.
Otros hacks tuvieron como blanco organizaciones de noticias financieras.
Los tres acusados, identificados como Gery Shalon, Joshua Samuel Aaron y Ziv Orenstein, se enfrentan a 23 cargos.
Cómo lo hicieron
Según los fiscales, así fue como lo hicieron: la técnica de hacking a menudo implicó el uso de cuentas legítimas pertenecientes a Joshua Aaron.
El uso de este acceso legítimo, como si Aaron fuera un cliente habitual, allanó el camino para que los hackers accedieran a las redes y sistemas que contienen grandes cantidades de datos sobre otros clientes – personas que estaban invirtiendo en acciones.
En el transcurso de varios años, robaron datos personales de más de 100 millones de personas.
Los hackers no accedieron a los datos bancarios. No los necesitaban ni los querían.
Los investigadores dicen que utilizaron los datos personales para enviar información a direcciones de correo electrónico de los jefes, promocionando acciones que habían comprado baratas.
De esta manera el precio de las acciones aumentaba y los hackers las vendían.
Es una técnica conocida como “Pump and Dump”, que involucra la inflación en el precio de una acción comprada barata, mediante la manipulación o falsificación de información, para venderla a un precio más alto.
