Capitulo 8 Seguridad en fos sistemas de informacién 315:
SSO aa ee ea et
TARGET SE CONVIERTE EN EL OBJETIVO DE UN ROBO DE DATOS MASIVO
‘Target, la segunda cadena minorista de descuento mas
grande en Estados Unidos, es conocida por sus estilos.
‘modernos a precios bajos. A finales de 2013 fue el objetivo
de uno de Ios robos de datos mas grandes de Ia historia,
En algiin momento antes del dia de accion de gracias
de 2013, unos hackers instalaron malware en el sistema de
seguridad y pagos de Target, disefiado para robar todas
las tarjetas de crédito utlizadas en las 1,797 tiendas dela
‘empresa en Estados Unidos cuando los clientes pagaban
sus compras, Cuando los clientes pasaban sus tarjetas de
crédito y débito en los dispositivos de punto de venta
de Target, el malware captaraba el nimero de tarjeta del
comprador y lo almacenaba en un servidor de Target con-
‘rolado por los hackers. De ahi los ntimeros de tarjetas de
crédito tobados se transmitian primero a tres servidores:
de puntos de paro distribuidos en Estados Unidos y Inego
hacia computadoras en Rusia. Los expertos creen que el
ataque pirata en Target fue parte de una campafa mas
importantes como Neiman Marcas, Michael's Arts and
crafts Store, y a Easton-Hell Sports,
[EI malware utilizado en estos atagues incluye wn ras-
pador de RAM (scraper), el cual permite a los criminales|
cibernéticos capturar datos cifrados a medida que viajan
a través de la memoria viva de la compatadora, donde los
datos aparecen como texto simple. Una vez que se inyecta
cen los sistemas de compatadora de los minoristas, el soft
ware busca programas de pagos y datos en las tiras mag:
néticas de las tarjetas, los cuales se descifran y almacenan
‘en la memoria del sistema de pagos durante el proceso de
autorizacion.
El robo de datos de Target se lev6 a cabo a partir
del 27 de noviembre hasta que el Servicio secreto y el
Departamento de justicia de Estados Unidos alertaron a.
Ia empresa el 13 de diciembre. Los investigadores que
hrabian estado rastreando a los criminales cibernéticos en
elextranjero y monitor
ppechosa habian detectado tn niimero inusual de cargos
¥ pagos realizados en Target, que pudo eliminar en pocos
dias el malware que capturaba sus datos. Pero para enton-
‘ces los ladromes eibernéticos habian podido rebar los datos
confidenciales de tarjetas de crédito y débito, incluyendo
los niimeros de tarjetas de crédito, nombres, fechas de
vencimiento y niimeros de identiicacién personal (NIP)
cifrados de alrededor de 40 millones de clientes de Target,
junto con informacién personal como nombres, nidmeros
.da al menos a media docena de minoristas
siban la actividad crediticia sos-
telefénicos, direcciones y direcciones de correo electré:
nico de hasta 70 millones mas
Target se habia preparado para un ataque asi, La
‘empresa cuenta con més de 300 miembros del personal
de seguridad de la informacién, Seis meses antes, Target
‘comenz6 a instalar la poderosa plataforma de deteccién
de malware Firekye de S1.6 millones. El software FireBye
aisla el trifico Web entrante y busca actividad sospe-
cchosa. El equipo de especialistas de seguridad de Target
cen Bangalore monitorea sus computadoras todo el da. i
Bangalore nota algo sospechoso, notifica al centro de ope
raciones de seguridad de Target en Minneapolis.
FireBye detecté el malware en accion y alerté a
Bangalore, que a su vex notificé al equipo de seguridad
de Target en Minneapolis. La fuga de seguridad podria
hhaberse detenido ahi sin intervencién humana, pero el
robo de datos continus hasta mediados de diciembre,
El sistema FireBye tiene una opcién para eliminar el
malware automaticamente al detectarlo. Es posible que
cl equipo de seguridad de Target haya desactivado esa
funcién para poder tener la decisién final en cuanto alo
que se deberia hacer. El equipo de seguridad de Target
aleg6 que sabia sobre la actividad de los hackers, pero no
cra suficiente para garantizar un seguimiento inmediato,
El equipo de seguridad de ‘Target ve muchas amenazas
cada semana y puede enfocarse slo en un niimero limi
tado de ellas en sus reuntones mensuales del comité
directive,
En un principio los intrusas habian obtenido acceso
alos sistemas de Target robando las credenciales de una
‘empresa de refrigeracion y calefaccién de Pennsylvania
llamada Pazio Mechanical Services para entrar en los sis-
temas de Target. Bsa empresa habia sido viotima de un
atague de phishing al menos 2 meses antes. El sitio Web de
Fazio declara que sus sistemas de Ty medidas de sogur
dad cumplen con las pricticas industriales, y que su cone
xidn de datos a Target era s6lo para facturacion, envio de
contratos y administracién de proyectos. Target pado haber
ayudado a los hackers al prover documentacion interna
detallada para los distrbuidores en varias paginas Web
de cara al pablico que no requieren un inicio de seston
Por ejemplo, el Poral de proveedores de Target de acceso
poblico inclaye informacién detallada sobre la forma en.
ue deben comunicarse los subcontratistas con la empresa
yy enviar facturas
Se supone que los sistemas de Target deben estar sog-
‘mentados de modo que los mas sensibles, incluyendo Tos
de pagos de clientes y datos personales, estén aislados
totalmente de otras partes de la red y, en especial, de
Internet abierta. Es obvio que las paredes aislantes
de Target tenian algunos orificios. Target habia aprobado
una auditoria en septiembre de 2013, certficando su
‘cumplimiento con los requisitos de la industria de los
‘pagos para proteger los datos de las tarjetas.
‘Las clientes atestaron las lineas telefénicas y el sitio
Web de la empresa, indignados por la violacién de su priva-
cidad y Ia vulnerabilidad al robo de identidad. En la pagina
de Facebook de ‘Target, los compradores seguian dejando316 Parte Dos Infraestructura de Ia tecnologia de la informacién
mensajes Furiosos, Las ventas de Target cayeron 5.3% en
el cuarto trimestre de 2013, en tanto que su rentabilidad
bbajé 46%. Las ganancias siguieron cayendo a principios
‘de 2014 debido a la renuencia continua de los clientes por
‘comprar en Target. Se presentaron cerca de 70 demandas|
legales contra Target. Las empresas de tarjetas de crédito
xylos bancos habian reemplazado muchas de la tarjetas y
‘cuentas de los clientes a raia dela infltracign, con un,
costo considerable, La empresa de consultoria Javelin
Strategy & Research estima que el dafio total para los
bbancos y minoristas podria exceder los $18 mil millones.
Los consumidores podrian ser responsables de més de
$4 mil millones en pérdidas no cubiertas y otros costo.
‘Tal ver Target tenga que pagar a las redes de tarjetas de
crédito para cubrir parte de estas pérdidas y gastos por
volver a emitir tarjetas, investigaciones gubernamentales
¥y procedimientos de ejecucién, lo que sin duda afectaria
{os ingresos corporativos en 2014, Beth Jacob, CIO de
‘Target al momento del ataque, renuncié en marzo de 2014
y el CEO de Target, Greggt Steinhafl, dej6 la empresa el
‘mes de mayo siguiente.
Los hackers dejaron pocas pitas a su paso para iden-
tificarlos, Por accidente, dejaron la palabra Rescator en el
cédigo de software. Este era el mismo nombre del sitio de
tarjetas clandestino, Rescatorla Pero los investigadores:
no han seftalado publicamente la ubicacion del centro
nervioso de Ios criminales; en vez de ello sugirieron que
PREGUNTAS DEL CASO DE
4, Liste y deseriba las debilidades de seguridad y control
con Target que se analizan en este caso.
2, Qué factores de administraci6n, organizacién y tecno-
logia contribuyeron a estos problemas? eQuué tan res-
ponsable era la gerencia?
Fraude del clic
los hackers tienden a separarse, se einen, se disuelven y
‘vuelven a agruparse,
‘Target ha implementado una seguridad de redes mas
sofisticada para salvaguardar los sistemas de pagos y los
datos de sus clientes. La tecnologia de listas blancas que.
usa la empresa slo permitia que entre a sus sistemas
el trfico Web que haya identificado como inofensivo, La
empresa se ha esforzado por que sea mis dificil pars un
intruso indeseable abrirse paso en sus sistemas. Target
‘también planeaba invertir $100 millones en 2015 para lz
implementacién de la tecnologia de tarjetas basada en.
chips (que se describe en el caso de apertura del capitulo)
‘yasi incrementar la seguridad de sus tarjetas de crédito y
de debito
ues: Michael Riley, Ben gin, Dune Lawrence y Carol Matick,
‘yfised alarms and 40 Million Stolen Credit Card Numbers: How
“Target Blow I, Business Week, 13 de marzo de 2014; Elirabeth A
amis “After Data Breach, Target Plans 0 Isue More Secure Chip-and-
IN Cans, Naw York ‘Ties, 28 de abril de 2014; aul Zicbr,vTaget
Replaces CEO Steinhafel Following Massive Holiday Breach’, Wall
‘Srea oursal 5 de mayo de 201; Hisabeth A. Hari y Niol Feloth,
“Target Missed Sign of Data Breach, rw York Ties 13 de marzo ce
2014 Nicole Perro, “Heat System Clled Door to Teget for Hackers
[New York Tes, 5 de febrero de 2013, y Sara Germano, obin Sidel y
Danny Yadron, “argo Strack in dhe Catand-Mouse Game of Credit
‘Thet,19 de diciembre de 2015 Target Faces Backlash ARer 20-Day
Security Breath, Wal Set Journal. 19 de diciembre de 2013,
ESTUDIO
3 ;Cuil fue el impacto de las pérdidas de datos de Target
sobre esta empresa y sus clicntes?
4, Que soluciones sugeritia para evitar estos problemas?
Cuando usted hace clic en un anuncio mostrado por un motor de blsqueda, por lo gene-
zal el anunciante paga una cuota por cada clic, que se supone dirige a los compradores
potenciales a sus productos, Bl fraude del elie ocurre cuando un individuo o progra-
‘ma de computadora hace clic de manera fraudulenta en wn anuncio en linea, sin inten-
cion de aprender mas sobre el anunciante o de realizar una compra. El fraude del clic
se ha convertido en un grave problema en Google y otros sitios Web que cuentan con
publicidad en nea del tipo *pago por clic!
Algunas compat
as contratan a terce
os (por lo general de pafses con bajos sueldos)
para hacer clic de manera fraudulenta en Ios anuncios del competidor para debilitarlos
al aumentar sus costos de marketing, Hl fraude del clic también se puede perpetrar
con programas de software que se encargan de hacer el clic; con frecuencia se utilizan
botnets para este fin. Los motores de busqueda como Google tratan de monitorear
problema
fraude del clic, pero no han querido hacer piblicos sus esfuerzos por lidiar con el