Si hay un sector que ha superado a la atención médica en violaciones de datos y ataques de ransomware, es financiación.
Los incidentes de seguridad que afectan a las instituciones financieras se están volviendo cada vez más comunes, ya sea que involucren bancos, empresas fintech o empresas de investigación de inversiones.
El último caso involucra a Zacks, una compañía estadounidense de investigación de inversiones. Un cibercriminal afirmó haber robado 15 millones de registros de clientes y clientes, pero una investigación separada luego confirmó que el número actual period de 12 millones.
Ilustración de un hacker en el trabajo. (Kurt “Cyberguy” Knutsson)
Lo que necesitas saber
La violación de la inversión de Zacks salió a la luz por primera vez a fines de enero de 2025 cuando un hacker conocido como “Jurak” afirmó en Breachforums que habían obtenido acceso a los sistemas de Zacks a principios de junio de 2024.
Según el hacker, obtuvieron privilegios de administrador de dominio para el directorio Lively Listing de Zacks, un componente crítico de seguridad de purple, lo que les permite robar el código fuente para Zacks.com y otros 16 sitios net, incluidas las herramientas internas, junto con los datos de la cuenta de usuario. La información robada se puso a la venta en foros de hackers, con muestras ofrecidas para un pequeño pago de criptomonedas para demostrar la autenticidad, según lo informado por BleepingComputer.
Una investigación adicional confirmó que la violación ocurrió en junio de 2024, exponiendo 12 millones de direcciones de correo electrónico únicas y otros datos personales. El hecho de que el atacante haya logrado obtener acceso de administrador de dominio sugiere un ataque altamente sofisticado, potencialmente explotando vulnerabilidades en la seguridad de la purple de Zacks.
Esta no es la primera vez que Zacks ha sufrido una violación. Los incidentes anteriores incluyen un ataque de 2022 que comprometió una base de datos de productos Zacks Elite más antigua de 1999 a 2005, como se señaló en la página de divulgación de incumplimiento de Zacks.
Publish de actores de amenaza sobre incumplimiento. (BleepingComputer)
Los costos ocultos de las aplicaciones gratuitas: su información personal
Qué datos se comprometieron
La violación de datos de inversión de Zacks, confirmada por Have I Bened (HIBP), expuso una variedad de información confidencial del usuario, poniendo en riesgo a los afectados. Los datos filtrados incluyen direcciones de correo electrónico, direcciones IP, nombres, números de teléfono, direcciones físicas, nombres de usuario y contraseñas de hashed SHA-256 sin sal.
Este tipo de información se puede usar mal para el phishing, el robo de identidad, el relleno de credenciales, el acoso, el intercambio de SIM e incluso las amenazas físicas. Al alarmantemente, el 93% de las direcciones de correo electrónico filtradas ya habían sido expuestas en infracciones anteriores, lo que hace que las contraseñas reutilizadas fueran un problema aún mayor. El uso de hashs sin sal, ampliamente considerados anticuados, solo se suma al riesgo, lo que facilita a los atacantes descifrar contraseñas y comprometer cuentas.
A pesar de la gravedad de la violación, Zacks Funding Analysis aún no ha publicado una declaración oficial a partir de febrero de 2025. La falta de transparencia es preocupante, especialmente teniendo en cuenta la escala de la violación y la historia de Zacks con incidentes de seguridad.
¿Qué es la inteligencia synthetic (AI)?
Una persona desplazándose por un teléfono. (Kurt “Cyberguy” Knutsson)
De Tiktok a problemas: cómo sus datos en línea se pueden armarse contra usted
7 formas en que puede protegerse después de una violación de datos como esta
1. Tenga cuidado con los intentos de phishing y use un software program antivirus fuerte: Después de una violación de datos, los estafadores a menudo usan los datos robados para crear mensajes de phishing convincentes. Estos pueden venir por correo electrónico, mensajes de texto o llamadas telefónicas, fingiendo ser de empresas de confianza. Tenga mucho cuidado con los mensajes no solicitados con enlaces que solicitan detalles personales o financieros, incluso si hacen referencia a órdenes o transacciones recientes. La mejor manera de salvaguardar de los enlaces maliciosos es tener un fuerte software program antivirus instalado en todos sus dispositivos. Esta protección también puede alertarlo sobre los correos electrónicos de phishing y las estafas de ransomware, manteniendo su información private y sus activos digitales seguros. Obtenga mis elecciones para los mejores ganadores de protección antivirus 2025 para sus dispositivos Windows, Mac, Android e iOS.
Obtenga el negocio de Fox sobre la marcha haciendo clic aquí
2. Invierta en protección de robo de identidad: Dada la exposición de datos personales, como nombres, direcciones y detalles del pedido, invertir en servicios de protección de robo de identidad puede proporcionar una capa adicional de seguridad. Estos servicios supervisan sus cuentas financieras e informe de crédito para cualquier signo de actividad fraudulenta, alertándole sobre el posible robo de identidad desde el principio. También pueden ayudarlo a congelar su banco y cuentas de tarjetas de crédito para evitar un mayor uso no autorizado por parte de los delincuentes. Vea mis consejos y las mejores selecciones sobre cómo protegerse del robo de identidad.
3. Habilite la autenticación de dos factores (2FA) en las cuentas: Habilitador autenticación de dos factores Agrega una capa adicional de seguridad a sus cuentas en línea. Incluso si los piratas informáticos obtienen sus credenciales de inicio de sesión, no podrán acceder a sus cuentas sin el segundo paso de verificación, como un código enviado a su teléfono o correo electrónico. Este easy paso puede reducir significativamente el riesgo de acceso no autorizado a información private confidencial.
4. Actualice sus contraseñas: Cambie las contraseñas para cualquier cuenta que pueda haber sido afectada por la violación y use contraseñas únicas y seguras para cada cuenta. Considere usar un Administrador de contraseñas. Obtenga más detalles sobre mi Los mejores administradores de contraseñas revisados por expertos de 2025 aquí.
5. Elimine sus datos personales de las bases de datos públicas: Si sus datos personales se expusieron en esta violación, es essential actuar rápidamente para reducir su riesgo de robo de identidad y estafas. Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Web, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, y tampoco es tu privacidad. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrando sistemáticamente su información private de cientos de sitios net. Es lo que me da tranquilidad y ha demostrado ser la forma más efectiva de borrar sus datos personales de Web. Al limitar la información disponible, scale back el riesgo de los datos de referencias cruzadas de las infracciones con información que pueden encontrar en la purple oscura, lo que dificulta que se le apuntarán. Consulte mis mejores selecciones para obtener servicios de eliminación de datos aquí.
La falla de seguridad masiva pone a la mayoría de los navegadores populares en riesgo en Mac
Takeaways de Kurt’s Key
La violación de la inversión de Zacks destaca cuán actual es la amenaza de los ataques cibernéticos para las instituciones financieras. Con millones de usuarios afectados y de datos personales expuestos, los riesgos de estafas y robo de identidad son más altos que nunca. El hecho de que Zacks no haya dicho mucho sobre la violación solo se suma a la incertidumbre de los afectados. A medida que estos tipos de ataques se vuelven más comunes, es más importante que nunca mantenerse al tanto de su seguridad en línea: use contraseñas únicas, vigile sus cuentas y manténgase alerta por cualquier signo de actividad sospechosa.
Haga clic aquí para obtener la aplicación Fox Information
¿Debería haber regulaciones más estrictas sobre cómo las empresas revelan violaciones y protegen los datos de los clientes? Háganos saber escribiéndonos en Cyberguy.com/contact
Para obtener más consejos tecnológicos y alertas de seguridad, suscríbase a mi boletín gratuito de Cyberguy Report al dirigirse a Cyberguy.com/newsletter
Hazle una pregunta a Kurt o cuéntanos qué historias te gustaría que cubramos.
Sigue a Kurt en sus canales sociales:
Respuestas a las preguntas de CyberGuys más informadas:
Nuevo de Kurt:
Copyright 2025 cyberguy.com. Reservados todos los derechos.
