Capitulo 8 Seguridad en fos sistemas de informacién 315: SSO aa ee ea et TARGET SE CONVIERTE EN EL OBJETIVO DE UN ROBO DE DATOS MASIVO ‘Target, la segunda cadena minorista de descuento mas grande en Estados Unidos, es conocida por sus estilos. ‘modernos a precios bajos. A finales de 2013 fue el objetivo de uno de Ios robos de datos mas grandes de Ia historia, En algiin momento antes del dia de accion de gracias de 2013, unos hackers instalaron malware en el sistema de seguridad y pagos de Target, disefiado para robar todas las tarjetas de crédito utlizadas en las 1,797 tiendas dela ‘empresa en Estados Unidos cuando los clientes pagaban sus compras, Cuando los clientes pasaban sus tarjetas de crédito y débito en los dispositivos de punto de venta de Target, el malware captaraba el nimero de tarjeta del comprador y lo almacenaba en un servidor de Target con- ‘rolado por los hackers. De ahi los ntimeros de tarjetas de crédito tobados se transmitian primero a tres servidores: de puntos de paro distribuidos en Estados Unidos y Inego hacia computadoras en Rusia. Los expertos creen que el ataque pirata en Target fue parte de una campafa mas importantes como Neiman Marcas, Michael's Arts and crafts Store, y a Easton-Hell Sports, [EI malware utilizado en estos atagues incluye wn ras- pador de RAM (scraper), el cual permite a los criminales| cibernéticos capturar datos cifrados a medida que viajan a través de la memoria viva de la compatadora, donde los datos aparecen como texto simple. Una vez que se inyecta cen los sistemas de compatadora de los minoristas, el soft ware busca programas de pagos y datos en las tiras mag: néticas de las tarjetas, los cuales se descifran y almacenan ‘en la memoria del sistema de pagos durante el proceso de autorizacion. El robo de datos de Target se lev6 a cabo a partir del 27 de noviembre hasta que el Servicio secreto y el Departamento de justicia de Estados Unidos alertaron a. Ia empresa el 13 de diciembre. Los investigadores que hrabian estado rastreando a los criminales cibernéticos en elextranjero y monitor ppechosa habian detectado tn niimero inusual de cargos ¥ pagos realizados en Target, que pudo eliminar en pocos dias el malware que capturaba sus datos. Pero para enton- ‘ces los ladromes eibernéticos habian podido rebar los datos confidenciales de tarjetas de crédito y débito, incluyendo los niimeros de tarjetas de crédito, nombres, fechas de vencimiento y niimeros de identiicacién personal (NIP) cifrados de alrededor de 40 millones de clientes de Target, junto con informacién personal como nombres, nidmeros .da al menos a media docena de minoristas siban la actividad crediticia sos- telefénicos, direcciones y direcciones de correo electré: nico de hasta 70 millones mas Target se habia preparado para un ataque asi, La ‘empresa cuenta con més de 300 miembros del personal de seguridad de la informacién, Seis meses antes, Target ‘comenz6 a instalar la poderosa plataforma de deteccién de malware Firekye de S1.6 millones. El software FireBye aisla el trifico Web entrante y busca actividad sospe- cchosa. El equipo de especialistas de seguridad de Target cen Bangalore monitorea sus computadoras todo el da. i Bangalore nota algo sospechoso, notifica al centro de ope raciones de seguridad de Target en Minneapolis. FireBye detecté el malware en accion y alerté a Bangalore, que a su vex notificé al equipo de seguridad de Target en Minneapolis. La fuga de seguridad podria hhaberse detenido ahi sin intervencién humana, pero el robo de datos continus hasta mediados de diciembre, El sistema FireBye tiene una opcién para eliminar el malware automaticamente al detectarlo. Es posible que cl equipo de seguridad de Target haya desactivado esa funcién para poder tener la decisién final en cuanto alo que se deberia hacer. El equipo de seguridad de Target aleg6 que sabia sobre la actividad de los hackers, pero no cra suficiente para garantizar un seguimiento inmediato, El equipo de seguridad de ‘Target ve muchas amenazas cada semana y puede enfocarse slo en un niimero limi tado de ellas en sus reuntones mensuales del comité directive, En un principio los intrusas habian obtenido acceso alos sistemas de Target robando las credenciales de una ‘empresa de refrigeracion y calefaccién de Pennsylvania llamada Pazio Mechanical Services para entrar en los sis- temas de Target. Bsa empresa habia sido viotima de un atague de phishing al menos 2 meses antes. El sitio Web de Fazio declara que sus sistemas de Ty medidas de sogur dad cumplen con las pricticas industriales, y que su cone xidn de datos a Target era s6lo para facturacion, envio de contratos y administracién de proyectos. Target pado haber ayudado a los hackers al prover documentacion interna detallada para los distrbuidores en varias paginas Web de cara al pablico que no requieren un inicio de seston Por ejemplo, el Poral de proveedores de Target de acceso poblico inclaye informacién detallada sobre la forma en. ue deben comunicarse los subcontratistas con la empresa yy enviar facturas Se supone que los sistemas de Target deben estar sog- ‘mentados de modo que los mas sensibles, incluyendo Tos de pagos de clientes y datos personales, estén aislados totalmente de otras partes de la red y, en especial, de Internet abierta. Es obvio que las paredes aislantes de Target tenian algunos orificios. Target habia aprobado una auditoria en septiembre de 2013, certficando su ‘cumplimiento con los requisitos de la industria de los ‘pagos para proteger los datos de las tarjetas. ‘Las clientes atestaron las lineas telefénicas y el sitio Web de la empresa, indignados por la violacién de su priva- cidad y Ia vulnerabilidad al robo de identidad. En la pagina de Facebook de ‘Target, los compradores seguian dejando316 Parte Dos Infraestructura de Ia tecnologia de la informacién mensajes Furiosos, Las ventas de Target cayeron 5.3% en el cuarto trimestre de 2013, en tanto que su rentabilidad bbajé 46%. Las ganancias siguieron cayendo a principios ‘de 2014 debido a la renuencia continua de los clientes por ‘comprar en Target. Se presentaron cerca de 70 demandas| legales contra Target. Las empresas de tarjetas de crédito xylos bancos habian reemplazado muchas de la tarjetas y ‘cuentas de los clientes a raia dela infltracign, con un, costo considerable, La empresa de consultoria Javelin Strategy & Research estima que el dafio total para los bbancos y minoristas podria exceder los $18 mil millones. Los consumidores podrian ser responsables de més de $4 mil millones en pérdidas no cubiertas y otros costo. ‘Tal ver Target tenga que pagar a las redes de tarjetas de crédito para cubrir parte de estas pérdidas y gastos por volver a emitir tarjetas, investigaciones gubernamentales ¥y procedimientos de ejecucién, lo que sin duda afectaria {os ingresos corporativos en 2014, Beth Jacob, CIO de ‘Target al momento del ataque, renuncié en marzo de 2014 y el CEO de Target, Greggt Steinhafl, dej6 la empresa el ‘mes de mayo siguiente. Los hackers dejaron pocas pitas a su paso para iden- tificarlos, Por accidente, dejaron la palabra Rescator en el cédigo de software. Este era el mismo nombre del sitio de tarjetas clandestino, Rescatorla Pero los investigadores: no han seftalado publicamente la ubicacion del centro nervioso de Ios criminales; en vez de ello sugirieron que PREGUNTAS DEL CASO DE 4, Liste y deseriba las debilidades de seguridad y control con Target que se analizan en este caso. 2, Qué factores de administraci6n, organizacién y tecno- logia contribuyeron a estos problemas? eQuué tan res- ponsable era la gerencia? Fraude del clic los hackers tienden a separarse, se einen, se disuelven y ‘vuelven a agruparse, ‘Target ha implementado una seguridad de redes mas sofisticada para salvaguardar los sistemas de pagos y los datos de sus clientes. La tecnologia de listas blancas que. usa la empresa slo permitia que entre a sus sistemas el trfico Web que haya identificado como inofensivo, La empresa se ha esforzado por que sea mis dificil pars un intruso indeseable abrirse paso en sus sistemas. Target ‘también planeaba invertir $100 millones en 2015 para lz implementacién de la tecnologia de tarjetas basada en. chips (que se describe en el caso de apertura del capitulo) ‘yasi incrementar la seguridad de sus tarjetas de crédito y de debito ues: Michael Riley, Ben gin, Dune Lawrence y Carol Matick, ‘yfised alarms and 40 Million Stolen Credit Card Numbers: How “Target Blow I, Business Week, 13 de marzo de 2014; Elirabeth A amis “After Data Breach, Target Plans 0 Isue More Secure Chip-and- IN Cans, Naw York ‘Ties, 28 de abril de 2014; aul Zicbr,vTaget Replaces CEO Steinhafel Following Massive Holiday Breach’, Wall ‘Srea oursal 5 de mayo de 201; Hisabeth A. Hari y Niol Feloth, “Target Missed Sign of Data Breach, rw York Ties 13 de marzo ce 2014 Nicole Perro, “Heat System Clled Door to Teget for Hackers [New York Tes, 5 de febrero de 2013, y Sara Germano, obin Sidel y Danny Yadron, “argo Strack in dhe Catand-Mouse Game of Credit ‘Thet,19 de diciembre de 2015 Target Faces Backlash ARer 20-Day Security Breath, Wal Set Journal. 19 de diciembre de 2013, ESTUDIO 3 ;Cuil fue el impacto de las pérdidas de datos de Target sobre esta empresa y sus clicntes? 4, Que soluciones sugeritia para evitar estos problemas? Cuando usted hace clic en un anuncio mostrado por un motor de blsqueda, por lo gene- zal el anunciante paga una cuota por cada clic, que se supone dirige a los compradores potenciales a sus productos, Bl fraude del elie ocurre cuando un individuo o progra- ‘ma de computadora hace clic de manera fraudulenta en wn anuncio en linea, sin inten- cion de aprender mas sobre el anunciante o de realizar una compra. El fraude del clic se ha convertido en un grave problema en Google y otros sitios Web que cuentan con publicidad en nea del tipo *pago por clic! Algunas compat as contratan a terce os (por lo general de pafses con bajos sueldos) para hacer clic de manera fraudulenta en Ios anuncios del competidor para debilitarlos al aumentar sus costos de marketing, Hl fraude del clic también se puede perpetrar con programas de software que se encargan de hacer el clic; con frecuencia se utilizan botnets para este fin. Los motores de busqueda como Google tratan de monitorear problema fraude del clic, pero no han querido hacer piblicos sus esfuerzos por lidiar con el