El robo de datos de Target (2013)

byNour Waazize 2 min read
0




La violación de datos de Target ocurrió entre el 27 de noviembre y el 18 de diciembre de 2013, durante la temporada alta de compras navideñas. Los hackers infiltraron la red de Target y comprometieron la información de tarjetas de crédito y débito de aproximadamente 40 millones de clientes, así como la información personal (nombres, direcciones, correos electrónicos y números de teléfono) de otros 70 millones de personas. En total, hasta 110 millones de consumidores se vieron afectados.



Intrusión Inicial: ¿Cómo Ocurrió?

  1. Vector de ataque: Proveedor externo
    Los hackers accedieron a la red de Target a través de un proveedor externo que ofrecía servicios de calefacción, ventilación y aire acondicionado (HVAC). Este proveedor, Fazio Mechanical Services, tenía acceso remoto a la red interna de Target para gestionar la facturación electrónica y la gestión de proyectos. Los atacantes utilizaron credenciales robadas de este proveedor para acceder a la red de Target a finales de noviembre de 2013.

  2. Ataque de phishing a Fazio Mechanical
    La violación comenzó con una campaña de phishing exitosa dirigida a empleados de Fazio Mechanical Services. A través de este intento de phishing, los atacantes infectaron los sistemas del proveedor con malware, lo que les permitió robar las credenciales necesarias para acceder remotamente a los sistemas de Target.



El Ataque a la Red de Target

Una vez dentro de la red de Target, los atacantes se movieron lateralmente para acceder a partes clave de la infraestructura de Target, específicamente el sistema de punto de venta (POS). La secuencia del ataque fue la siguiente:

  1. Fallos en la segmentación de la red
    Aunque Target había segmentado su red hasta cierto punto, los atacantes pudieron eludir estas protecciones, moviéndose desde el portal de acceso del proveedor a áreas críticas de la infraestructura de Target. Esto fue posible debido a controles de seguridad débiles que no segregaban adecuadamente los sistemas de procesamiento de pagos de otras partes de la red.

  2. Despliegue del malware en el POS: "BlackPOS"
    Después de acceder a la red del POS, los atacantes instalaron un tipo de malware llamado BlackPOS (también conocido como Kaptoxa). Este malware estaba diseñado para capturar datos de tarjetas de crédito directamente desde los dispositivos POS antes de que fueran encriptados y transmitidos a los procesadores de pago. El malware extraía los datos de las tarjetas de la memoria del sistema, permitiendo a los hackers recopilar información como números de tarjetas, fechas de expiración y códigos de seguridad (CVV).

  3. Exfiltración de los datos
    Los datos robados se empaquetaban y enviaban a servidores controlados por los atacantes. Los datos primero se transferían a servidores de almacenamiento dentro de la red de Target y luego se transmitían a servidores FTP externos controlados por los hackers, la mayoría ubicados en Europa del Este. Durante un período de aproximadamente dos semanas, los atacantes pudieron exfiltrar 11 GB de datos.



Detección y Respuesta Retrasada

A pesar de que varios sistemas de seguridad de Target emitieron alertas, la empresa no respondió de inmediato a la violación. El sistema de detección de intrusiones FireEye de Target identificó y señaló actividad sospechosa, pero al parecer fue ignorado por el equipo de seguridad. El malware continuó extrayendo datos hasta que el equipo de seguridad de Target fue finalmente alertado por terceros, incluidos bancos y fuerzas del orden que notaron patrones de gasto inusuales en las tarjetas de los clientes.

El 12 de diciembre de 2013, Target fue informado oficialmente de la violación, y para el 15 de diciembre la empresa había tomado medidas para erradicar el malware de sus sistemas. Sin embargo, no fue hasta el 18 de diciembre cuando Target reveló públicamente la violación.



Consecuencias y Repercusiones

  1. Impacto en los consumidores

    • La violación comprometió los detalles de las tarjetas de crédito y débito de aproximadamente 40 millones de consumidores y la información personal de otros 70 millones. Esto llevó a un fraude generalizado y a la necesidad de reemplazar millones de tarjetas, lo que costó a las instituciones financieras millones de dólares.
    • Los consumidores sufrieron inconvenientes significativos, y la imagen pública de Target se vio gravemente dañada. La violación generó desconfianza generalizada y una disminución en la confianza del cliente.

  2. Repercusiones financieras para Target

    • El costo total de la violación para Target se estima en más de 162 millones de dólares, considerando los honorarios legales, los acuerdos y las mejoras en su infraestructura de seguridad.
    • Target llegó a un acuerdo de 18.5 millones de dólares en 2017 en una demanda multiestatal presentada por 47 estados y el Distrito de Columbia.
    • Además de los acuerdos legales, Target se vio obligada a compensar a los consumidores afectados, cubrir los costos de servicios de monitoreo de crédito y asumir las multas regulatorias.

  3. Repercusiones para los ejecutivos
    En respuesta a la violación, varios ejecutivos de Target, incluido el CEO Gregg Steinhafel, renunciaron en 2014. La violación también provocó cambios en el liderazgo de TI y seguridad de la empresa. Una lección clave fue que la junta directiva y la alta gerencia no habían priorizado adecuadamente la ciberseguridad, lo que llevó a cambios significativos en las políticas y liderazgo de seguridad de la compañía.

  4. Demandas y acciones legales
    Target enfrentó múltiples demandas de consumidores, bancos y accionistas. Las instituciones financieras demandaron a la empresa para recuperar los costos asociados con el reemplazo de tarjetas comprometidas y la retribución por cargos fraudulentos. Target eventualmente acordó pagar un acuerdo de 10 millones de dólares en una demanda colectiva presentada por consumidores afectados por la violación.



Cambios de Seguridad a Largo Plazo y Lecciones Aprendidas

Después de la violación, Target implementó varios cambios en sus políticas e infraestructura de seguridad para prevenir futuros ataques. Estos incluyeron:

  • Adopción de Chip-and-PIN: Uno de los resultados más significativos de la violación fue la decisión de Target de adoptar la tecnología de chip-and-PIN en sus tiendas. La empresa aceleró la transición de las tarjetas con banda magnética a la tecnología más segura de chip EMV, lo que marcó un cambio más amplio en los EE. UU. hacia la adopción de EMV.

  • Mejor segmentación de la red: Target mejoró su seguridad interna, especialmente en torno a la segmentación de la red, para garantizar que los sistemas de pago sensibles estuvieran aislados de otras partes de la red.

  • Monitoreo continuo: La empresa invirtió en sistemas mejorados de detección de intrusiones y en monitoreo 24/7 para garantizar que las alertas de seguridad no fueran ignoradas en el futuro.

  • Controles más estrictos sobre proveedores: Target implementó controles más estrictos sobre los proveedores externos, incluidas la autenticación multifactorial para el acceso externo, auditorías de seguridad periódicas y una mejor protección de los puntos finales.



Impacto General en la Industria Minorista

La violación de datos de Target en 2013 sirvió como una llamada de atención para toda la industria minorista, destacando las vulnerabilidades en los sistemas de POS y en las relaciones con proveedores externos. Impulsó cambios en la gestión de seguridad de las organizaciones, particularmente en términos de:

  • Gestión del riesgo de proveedores externos: Muchas organizaciones reevaluaron sus políticas de acceso de terceros y mejoraron la supervisión del acceso de los proveedores a los sistemas internos.
  • Seguridad de pagos: Los minoristas comenzaron a acelerar la adopción de la tecnología de chip EMV, alejándose de las tarjetas con bandas magnéticas, fácilmente comprometidas.
  • Mejora en los tiempos de respuesta: Las empresas se volvieron más proactivas en la vigilancia y respuesta a las amenazas de ciberseguridad, invirtiendo en herramientas y protocolos de seguridad más avanzados.


Conclusión

La violación de datos de Target en 2013 se erige como un evento crucial en el panorama de la ciberseguridad, ilustrando cómo los controles deficientes sobre proveedores externos y la falta de monitoreo adecuado pueden tener consecuencias devastadoras. La magnitud de la violación, que afectó a decenas de millones de consumidores y le costó millones a Target, destacó la creciente necesidad de estrategias robustas de ciberseguridad, particularmente en la protección de los sistemas de pago y la gestión del riesgo de terceros. Las lecciones de la violación de Target siguen siendo altamente relevantes hoy en día, a medida que las amenazas de ciberseguridad continúan evolucionando.



Etiquetas:

Publicar un comentario

Artículo Anterior Artículo Siguiente