Scribd Logo
Upload

Welcome to Scribd!

  • Caso Target

    Uploaded by

    victor caycho
    10 views3 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    10 views3 pages

    Caso Target

    Uploaded by

    victor caycho

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    A un clic de las TIC

    Por Pablo Ortega Bofil

    13 de Marzo de 2014

    En seguridad, una política reactiva sale muy cara

    Ciberseguridad

    La segunda mayor cadena de supermercados de Estados Unidos, con 1.900


    establecimientos y 365 000 empleados, sigue sin despertar de la pesadilla cibernética que
    sufre desde el pasado 27 de noviembre, y que la ha llevado a la mayor crisis desde su
    fundación hace setenta años.

    ¿Quién le iba a decir a Gregg Steinhafel, CEO de Target, cuando se subía a su espléndida
    limusina corporativa, lo que le depararía ese frío día de noviembre de 2013? Comenzaba
    un grave ataque digital que dejaría seriamente tocada a su compañía.

    Durante los últimos años la red de supermercados que dirige, creada en Minnesotta en
    1942, había crecido por encima de sus expectativas. El año pasado abrieron catorce tiendas
    en la vecina Canadá y, además, su equipo de marketing había puesto en marcha una
    experiencia de multicanalidad en la web para extender la experiencia de compra a los
    hogares.
    Mientras atendía correos y llamadas en su smartphone, camino de su despacho, Steinhafel
    pensaba: “la campaña de Navidad está a la vuelta de la esquina, seguro que cerramos este
    ejercicio por encima de los 73 billones de dólares del año pasado.”

    Unas semanas más tarde, el 15 de diciembre, le informaron de que habían sufrido un ataque
    informático y que habían detectado accesos no autorizados a algunas máquinas TPV de
    los supermercados, que se habían conectado a servidores desconocidos.

    -“¿Qué significa eso? ¿Pero se pueden atacar los TPVs de los supermercados?” preguntó a
    su CIO, la señora Beth Jacob que trabajaba con él desde 2008.

    -“Aún no lo sabemos con exactitud, dame 24 horas “, contestó ella.

    Si hubiera seguido el popular blog de Chema Alonso, CEO de Eleven Paths, filial de
    Telefónica, Beth Jacob habría podido explicar con claridad lo sucedido.

    A pocas horas del famoso Black Friday, la noticia para Steinhafel no podía ser peor. Si se
    desvelaba el ataque, su campaña de Navidad se podía ir al traste. Sus colaboradores le
    sugirieron que, dado que la cultura corporativa de la empresa era mantener la confianza del
    cliente, deberían hacer una evaluación precisa y completa de daños antes de decir nada.
    Otros, en cambio, apostaban por dar a conocer lo sucedido cuanto antes.

    El CEO pidió una evaluación urgente de daños para el día siguiente. La Sra. Jacob estuvo
    en disposición de contarle entonces que habían penetrado por los TPV a través de las cajas
    registradoras y que se habían llevado los datos de las tarjetas de crédito, incluidos los
    tres dígitos del reverso.

    -“Gregg, nos han robado millones de datos de nuestros clientes. Se calcula que unos 70
    millones de registros, que afectan a más de 40 millones de clientes. Necesitamos dos
    semanas para conocer con exactitud el daño producido”.

    Antes de que pudieran preparar un comunicado, un bloguero experto en seguridad


    informática desveló el ataque y aceleró todo: obligó a Steinhafel a emitir una nota de
    prensa, así como a realizar una serie de entrevistas en los medios nacionales para mitigar el
    daño que se iba a producir. Pero ya era tarde. La gestión de la crisis de Target empezó con
    mal pie, los medios desvelaron la ocultación de información de la empresa de retail, lo que
    la perjudicó aún más.

    Mientras tanto, el equipo de Steinhafel, se dio prisa en adoptar medidas como taponar la
    brecha de seguridad, contratar a un equipo de consultores de seguridad informática
    para determinar que pasó, y pagar un servicio de monitorización de las cuentas de
    crédito afectadas por el ataque a sus clientes por un valor de 200 millones de dólares.

    Pero aún no ha acabado la cosa. El pasado 5 de marzo Beth Jacob dimitía de su cargo como
    responsable de Tecnologías de la Información de Target. El ciberataque perpetrado se
    considera una catástrofe digital de repercusiones similares a la que sufrió BP con su
    vertido de petróleo en 2010. La reputación de la cadena de supermercados se ha
    desplomado, la confianza de sus consumidores será difícil de recuperar a corto plazo, y las
    ventas del cuarto trimestre, las más importantes del año, cayeron un 3,8 por ciento.

    El CIO de la compañía adoptó una política reactiva de seguridad que se reveló como
    insuficiente para proteger la privacidad de millones de sus clientes. Los CIO de estas
    empresas suelen procedern de áreas de negocio y no están capacitados técnicamente para
    adoptar medidas contra ataques cibernéticos de esta sofisticación. La figura de un experto
    en el área como el Chief Security Officer se revela como esencial.

    Este caso es un crudo reflejo de dos grandes riesgos de seguridad a los que se enfrentan
    las grandes empresas en 2014:

    • Por un lado, aumenta el número de puertas de entrada a los ataques. Target ha


    sido una de las primeras víctimas de un ciberataque multidispositivo de gran
    magnitud, es decir, a terminales distintos al PC, mucho más vulnerables que éstos.

    • Por otro lado, hay que equilibrar seguridad versus privacidad: Los 40 millones de
    clientes de Target vieron, indefensos, cómo se violaba la relación de confianza que
    mantenían con el supermercado y se robaban sus datos privados por una deficiente
    evaluación del riesgo de la cadena de retail.

    A las pocas horas se reveló que estos datos se estaban vendiendo en la zona de mercado
    negro de la Deep Web, la parte de Internet oculta (algunos estiman que supone el 96 por
    ciento del tráfico total de datos que circula por la web).

    Según Chema Alonso, una de las redes principales de la Deep Web es TOR. que “en origen
    estaba pensada, no para tener contenidos ocultos, sino para garantizar anonimato a los
    usuarios que se conectaban y privacidad en el envío de la información entre los nodos y,
    entre otras cosas, ayudar a las personas oprimidas y perseguidas en regímenes dictatoriales.

    A día de hoy, la continuidad en el cargo del otrora omnipotente CEO de Target está en
    entredicho. Una carrera cimentada en años de trabajo y esfuerzo puede irse al traste por
    unos desconocidos expertos en violar sistemas de seguridad para delinquir con ellos. Sin
    duda, más que nunca es necesaria una ciberseguridad disruptiva frente a un ecosistema de
    amenazas cambiante y complejo.

    Imagen: Patrick Hoesly

    You might also like