Comparte:
Ciberseguridad
13 de marzo de 2014

En seguridad, una política reactiva sale muy cara

En seguridad, una política reactiva sale muy cara

En seguridad, una política reactiva sale muy cara

Escrito por , 13/03/2014

La segunda mayor cadena de supermercados de Estados Unidos, con 1.900 establecimientos y 365 000 empleados, sigue sin despertar de la pesadilla cibernética que sufre desde el pasado 27 de noviembre, y que la ha llevado a la mayor crisis desde su fundación hace setenta años.

¿Quién le iba a decir a Gregg Steinhafel, CEO de Target, cuando se subía a su espléndida limusina corporativa, lo que le depararía ese frío día de noviembre de 2013?  Comenzaba un grave ataque digital que dejaría seriamente tocada a su compañía.

Durante los últimos años la red de supermercados que dirige, creada en Minnesotta en 1942, había crecido por encima de sus expectativas. El año pasado abrieron catorce tiendas en la vecina Canadá y, además, su equipo de marketing había puesto en marcha una experiencia de multicanalidad en la web para extender la experiencia de compra a los hogares.

Mientras atendía correos y llamadas en su smartphone, camino de su despacho, Steinhafel pensaba: “la campaña de Navidad está a la vuelta de la esquina, seguro que cerramos este ejercicio por encima de  los 73 billones de dólares del año pasado.”

Unas semanas más tarde, el 15 de diciembre, le informaron de que habían sufrido un ataque informático y que habían detectado accesos no autorizados a algunas máquinas TPV de los supermercados, que se habían conectado a servidores desconocidos.

-“¿Qué significa eso? ¿Pero se pueden atacar los TPVs de los supermercados?” preguntó a su CIO, la señora Beth Jacob que trabajaba con él desde 2008.

-“Aún no lo sabemos con exactitud, dame 24 horas «, contestó ella.

Si hubiera seguido el  popular blog de Chema Alonso, CEO de Eleven Paths, filial de Telefónica, Beth Jacob habría podido explicar con claridad lo sucedido.

A pocas horas del famoso Black Friday, la noticia para Steinhafel no podía ser peor. Si se desvelaba el ataque, su campaña de Navidad se podía ir al traste. Sus colaboradores le sugirieron que, dado que la cultura corporativa de la empresa era mantener la confianza del cliente, deberían hacer una evaluación precisa y completa de daños antes de decir nada. Otros, en cambio, apostaban por dar a conocer lo sucedido cuanto antes.

El CEO pidió una evaluación urgente de daños para el día siguiente. La Sra. Jacob estuvo en disposición de contarle entonces que habían penetrado por los TPV a través de las cajas registradoras y que se habían llevado los datos de las tarjetas de crédito, incluidos los tres dígitos del reverso.

-“Gregg, nos han robado millones de datos de nuestros clientes. Se calcula que unos 70 millones de registros, que afectan a más de 40 millones de clientes. Necesitamos dos semanas para conocer con exactitud el daño producido”.

Antes de que pudieran preparar un comunicado, un bloguero experto en seguridad informática desveló el ataque y aceleró todo: obligó a Steinhafel a emitir una nota de prensa, así como a realizar una serie de entrevistas en los medios nacionales para mitigar el daño que se iba a producir. Pero ya era tarde. La gestión de la crisis de Target empezó con mal pie, los medios desvelaron la ocultación de información de la empresa de retail, lo que la perjudicó aún más.

Mientras tanto, el equipo de Steinhafel, se dio prisa en adoptar medidas como taponar la brecha de seguridad, contratar a un equipo de consultores de seguridad informática para determinar que pasó, y pagar un servicio de monitorización de las cuentas de crédito afectadas por el ataque a sus clientes por un valor de 200 millones de dólares.

Pero aún no ha acabado la cosa. El pasado 5 de marzo Beth Jacob dimitía de su cargo como responsable de Tecnologías de la Información de Target. El ciberataque perpetrado se considera una catástrofe digital de repercusiones similares a la que sufrió BP con su vertido de petróleo en 2010. La reputación de la cadena de supermercados se ha desplomado, la confianza de sus consumidores será difícil de recuperar a corto plazo, y las ventas del cuarto trimestre, las más importantes del año, cayeron un 3,8 por ciento.

El CIO de la compañía adoptó una política reactiva de seguridad que se reveló como insuficiente para proteger  la privacidad de millones de sus clientes. Los CIO de estas empresas suelen procedern de áreas de negocio y no están capacitados técnicamente para adoptar medidas contra ataques cibernéticos de esta sofisticación. La figura de un experto en el área como el Chief Security Officer se revela como esencial.

Este caso es un crudo reflejo de dos grandes riesgos de seguridad a los que se enfrentan las grandes empresas en 2014:

  • Por un lado, aumenta el número de puertas de entrada a los ataques. Target ha sido una de las primeras víctimas de un ciberataque multidispositivo de gran magnitud, es decir, a terminales distintos al PC, mucho más vulnerables que éstos.
  • Por otro lado, hay que equilibrar seguridad versus privacidad: Los 40 millones de clientes de Target vieron, indefensos, cómo se violaba la relación de confianza que mantenían con el supermercado y se robaban sus datos privados por una deficiente evaluación del riesgo de la cadena de retail.

A las pocas horas se reveló que estos datos se estaban vendiendo en la zona de mercado negro de la Deep Web, la parte de Internet oculta (algunos estiman que supone el 96 por ciento del tráfico total de datos que circula por la web).

Según Chema Alonso, una de las redes principales de la Deep Web es TOR. que “en origen estaba pensada, no para tener contenidos ocultos, sino para garantizar anonimato a los usuarios  que se conectaban y privacidad en el envío de la información entre los nodos y, entre otras cosas, ayudar a las personas oprimidas y perseguidas en regímenes dictatoriales.

A día de hoy, la continuidad en el cargo del otrora omnipotente CEO de Target está en entredicho. Una carrera cimentada en años de trabajo y esfuerzo puede irse al traste por unos desconocidos expertos en violar sistemas de seguridad para delinquir con ellos.  Sin duda, más que nunca es necesaria una ciberseguridad disruptiva frente a un ecosistema de amenazas cambiante y complejo.

Imagen: Patrick Hoesly

 

 

Sobre el autor

Pablo Ortega Bofill

Pablo Ortega Bofill

Licenciado en Empresariales por la Universidad de Alcalá, realicé estudios de Marketing en la University of New Mexico. Soy experto en marketing de servicios de telecomunicaciones para grandes clientes, y desde 2012 facilito el aterrizaje comercial de los servicios de seguridad en clientes multinacionales. También realizo traducciones, y doy talleres de formación en presentaciones eficaces en inglés.
Ver todos sus artículos »