La infame violación de seguridad de Target que expuso la información financiera y personal de decenas de millones de estadounidenses a fines del año pasado fue el resultado de la falla de la compañía de mantener sus operaciones de rutina y funciones de mantenimiento en una red separada de las funciones críticas de pago, según la información de seguridad investigador Brian Krebs, quien informó por primera vez de la violación en diciembre.
La semana pasada, Target reveló a The Wall Street Journal que la violación inicial de su red se rastreó hasta la información de inicio de sesión robada de un proveedor externo. El Sr. Krebs ahora informa que el proveedor en cuestión era Fazio Mechanical Services, una empresa con sede en Sharpsburg, Pensilvania, que contrató a Target para proporcionar instalación y mantenimiento de refrigeración y HVAC. El presidente de Fazio, Ross Fazio, confirmó que la empresa fue visitada por el Servicio Secreto de los EE. UU. Como parte de la investigación, pero aún no ha hecho ninguna declaración pública sobre la participación de las credenciales de inicio de sesión asignadas a sus empleados.
Los empleados de Fazio obtuvieron acceso remoto a la red de Target para monitorear parámetros como el uso de energía y las temperaturas de refrigeración. Pero debido a que, según los informes, Target no logró segmentar su red, significaba que los hackers conocedores podían usar esas mismas credenciales remotas de terceros para acceder a los servidores de punto de venta (POS) sensibles del minorista. Los hackers aún desconocidos aprovecharon esta vulnerabilidad para cargar malware a la mayoría de los sistemas POS de Target, que luego capturaron el pago y la información personal de hasta 70 millones de clientes que compraron en la tienda entre finales de noviembre y mediados de diciembre.
Esta revelación ha puesto en duda la caracterización del evento por parte de los ejecutivos de Target como un robo cibernético sofisticado e inesperado. Si bien el malware cargado era bastante complejo, y aunque los empleados de Fazio comparten cierta culpa por permitir el robo de credenciales de inicio de sesión, el hecho es que cualquiera de las dos condiciones se habría convertido en discutible si Target hubiera seguido las pautas de seguridad y segmentado su red para mantener aislados los servidores de pago de redes que permiten un acceso relativamente amplio.
Jody Brazil, fundador y CTO de la firma de seguridad FireMon, explicó a Computerworld : “No hay nada de lujos. Target eligió permitir el acceso de terceros a su red, pero no pudo asegurar adecuadamente ese acceso ".
Si otras compañías no pueden aprender de los errores de Target, los consumidores pueden esperar aún más infracciones. Stephen Boyer, CTO y cofundador de la firma de gestión de riesgos BitSight, explicó: “En el mundo hiperconectado de hoy, las empresas están trabajando con más y más socios comerciales con funciones como cobranza y procesamiento de pagos, fabricación, TI y recursos humanos. Los piratas informáticos encuentran el punto de entrada más débil para obtener acceso a información confidencial, y a menudo ese punto está dentro del ecosistema de la víctima ".
Todavía no se ha encontrado que Target haya violado los estándares de seguridad de la industria de tarjetas de pago (PCI) como resultado de la violación, pero algunos analistas prevén problemas en el futuro de la compañía. Si bien es muy recomendable, los estándares PCI no requieren que las organizaciones segmenten sus redes entre las funciones de pago y las de no pago, pero sigue habiendo dudas sobre si el acceso de terceros de Target utilizó autenticación de dos factores, lo cual es un requisito. Las violaciones de los estándares PCI pueden dar lugar a grandes multas, y el analista de Gartner Avivah Litan le dijo al Sr. Krebs que la compañía podría enfrentar multas de hasta $ 420 millones por el incumplimiento.
El gobierno también ha comenzado a actuar en respuesta a la violación. La administración de Obama recomendó esta semana la adopción de leyes de seguridad cibernética más estrictas, que impongan sanciones más severas para los delincuentes, así como requisitos federales para que las empresas notifiquen a los clientes a raíz de las violaciones de seguridad y sigan ciertas prácticas mínimas cuando se trata de políticas de datos cibernéticos.
