Nota del editor: Este blog es el segundo de una serie en la que se examinan las causas y los efectos de las violaciones de datos de gran repercusión relacionadas con terceros en la última década. No deje de consultar el blog de Risk Register para conocer las próximas entregas de la serie.
En 2013, los atacantes utilizaron el acceso de un proveedor externo para comprometer la red de Target y robar información confidencial de los clientes. Este blog repasa los antecedentes de la brecha de Target, los métodos que utilizaron los atacantes, lo que ocurrió con los datos, el impacto de la brecha en Target y lo que los profesionales de la gestión de riesgos de terceros siguen aprendiendo de esta brecha.
Antecedentes de la violación de datos
Durante la temporada de compras navideñas de 2013, unos hackers se infiltraron en la red de Target y comprometieron la información de las cuentas de 70 millones de clientes. Los piratas informáticos robaron datos como nombres completos, números de teléfono, direcciones de correo electrónico, números de tarjetas de pago y códigos de verificación de tarjetas de crédito: ¡el auténtico Santo Grial de la PII!
Métodos utilizados
Los atacantes utilizaron un ataque de spear phishing contra la empresa de HVAC de Target, Fazio Mechanical Services, para robar credenciales de usuario. A continuación, los hackers utilizaron las credenciales robadas para acceder a la red corporativa de Target e instalar malware en los TPV de Target. El malware instalado recopiló datos confidenciales de los clientes entre noviembre y diciembre de 2013.
¿Qué ha pasado con los datos?
La información de la tarjeta de crédito robada se encontró más tarde a la venta en la dark web. Sin embargo, no está claro si los vendedores eran los autores del delito.
Cómo afectó la filtración a Target
Dado que la brecha se reveló durante la temporada navideña, una época crucial para los minoristas, Target sufrió importantes pérdidas financieras. Los beneficios de la empresa cayeron casi un 50% en el cuarto trimestre de 2013 en comparación con el año anterior y el precio de sus acciones bajó un 9% en un periodo de dos meses tras la revelación de la filtración. Además, Target resolvió una demanda colectiva de 10 millones de dólares en 2015 y acordópagar hasta 10.000 dólares a los clientes que sufrieron pérdidas como consecuencia de la filtración de datos. Y en 2017, Target pagó otros 18,5 millones de dólares en acuerdos.
Además, la publicidad negativa generalizada dañó la reputación de Target y provocó una atención no deseada. El Departamento de Justicia inició una investigación en 2014 y los legisladores presionaron a los reguladores federales para que examinaran la filtración. En 2014, varios comités del Senado utilizaron la brecha como tema de discusión para posibles regulaciones relativas a la seguridad de los datos. Como parte del acuerdo de Target de 2017, se le exigió que se adhiriera a las mejores prácticas empresariales publicadas por el Departamento de Justicia de California en los informes sobre filtraciones de datos del Fiscal General de California.
Lo que los profesionales de la gestión de riesgos de terceros pueden aprender de la filtración de Target
Aunque hay muchas lecciones que los profesionales de la gestión de riesgos pueden aprender de la brecha de Target, este caso es el ejemplo perfecto para llevar a cabo una evaluación profunda basada en controles internos, especialmente en torno a dos áreas: la gestión de identidades y accesos, y la formación y educación de los usuarios. Y aunque la evaluación en sí no habría garantizado que la brecha no se hubiera producido, la visibilidad de la falta de control interno sobre estos procesos de seguridad críticos habría arrojado luz sobre lo que se convertiría en debilidades materiales.
Prevalent es único porque combina estas evaluaciones automatizadas de proveedores con la supervisión continua de amenazas en una única plataforma para obtener una visión de 360 grados de los proveedores. El resultado es la visibilidad que necesita para revelar, interpretar y mitigar los riesgos.
Recuerde, sólo porque externalice funciones críticas a un tercero, no significa que externalice el riesgo. Es suyo y debe gestionarlo en consecuencia. Si no lo hace, tiene que estar preparado para demandas colectivas, daños a la reputación y la marca, y pérdidas financieras.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a crear o perfeccionar su programa de gestión de riesgos de terceros y obtener visibilidad sobre los puntos débiles de terceros, póngase en contacto con nosotros hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
