Nota del editor: Este blog es el segundo de una serie que examina las causas y los efectos de las violaciones de datos de terceros de gran repercusión mediática que se han producido en la última década. ¡No deje de seguir el blog Risk Register para conocer las próximas entregas de la serie!
En 2013, unos atacantes utilizaron el acceso de un proveedor externo para comprometer la red de Target y robar información confidencial de los clientes. Este blog repasa los antecedentes de la violación de seguridad de Target, los métodos utilizados por los atacantes, lo que ocurrió con los datos, el impacto de la violación en Target y lo que los profesionales de la gestión de riesgos de terceros siguen aprendiendo hoy en día de esta violación.
Antecedentes de la violación de datos
Durante la temporada de compras navideñas de 2013, unos hackers se infiltraron en la red de Target y comprometieron la información de las cuentas de 70 millones de clientes. Los hackers robaron datos como nombres completos, números de teléfono, direcciones de correo electrónico, números de tarjetas de pago y códigos de verificación de tarjetas de crédito: ¡el auténtico Santo Grial de la información de identificación personal!
Métodos utilizados
Los atacantes utilizaron un ataque de spear phishing contra la empresa externa de climatización de Target, Fazio Mechanical Services, para robar las credenciales de los usuarios. A continuación, los hackers utilizaron las credenciales robadas para acceder a la red corporativa de Target e instalar malware en los dispositivos POS de Target. El malware instalado recopiló datos confidenciales de los clientes entre noviembre y diciembre de 2013.
¿Qué pasó con los datos?
La información de las tarjetas de crédito robadas se encontró posteriormente a la venta en la web oscura. Sin embargo, no está claro si los vendedores fueron los autores del delito.
Cómo afectó la violación a Target
Debido a que la filtración se reveló durante la temporada navideña, un momento crucial para los minoristas, Target sufrió importantes pérdidas financieras. Los beneficios de la empresa cayeron casi un 50 % en el cuarto trimestre de 2013 en comparación con el año anterior y el precio de sus acciones cayó un 9 % durante los dos meses siguientes a la revelación de la filtración. Además, Target llegó a un acuerdo en una demanda colectiva por valor de 10 millones de dólares en 2015 y acordópagar hasta 10 000 dólares a los clientes que sufrieron pérdidas como consecuencia de la filtración de datos. Y en 2017, Target pagó otros 18,5 millones de dólares en acuerdos extrajudiciales.
Además, la amplia publicidad negativa dañó la reputación de Target y atrajo una atención no deseada. El Departamento de Justicia inició una investigación en 2014 y los legisladores presionaron a los reguladores federales para que examinaran la violación. En 2014, varias comisiones del Senado utilizaron la violación como tema de debate para posibles regulaciones relativas a la seguridad de los datos. Como parte del acuerdo de Target de 2017, se exigió a Target que se adhiriera a las mejores prácticas empresariales publicadas por el Departamento de Justicia de California en los informes sobre violaciones de datos del Fiscal General de California.
Lo que los profesionales de la gestión de riesgos de terceros pueden aprender de la violación de datos de Target
Aunque hay muchas lecciones que los profesionales de la gestión de riesgos pueden aprender del caso Target, este caso es un ejemplo paradigmático de la importancia de realizar una evaluación profunda basada en los controles internos, especialmente en dos áreas: la gestión de identidades y accesos, y la formación y educación de los usuarios. Y aunque la evaluación en sí misma no habría garantizado que la violación no se produjera, la visibilidad de la falta de control interno sobre estos procesos críticos de seguridad habría puesto de manifiesto lo que se convertiría en debilidades importantes.
Prevalent es única en el sentido de que combinamos estas evaluaciones automatizadas de proveedores con la supervisión continua de amenazas en una única plataforma para ofrecer una visión de 360 grados de los proveedores. El resultado es la visibilidad que necesita para revelar, interpretar y mitigar los riesgos.
Recuerde, el hecho de externalizar funciones críticas a un tercero no significa que externalice el riesgo. Usted es el responsable y debe gestionarlo como corresponde. Si no lo hace, debe estar preparado para enfrentarse a demandas colectivas, daños a su reputación y marca, y pérdidas económicas.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a crear o perfeccionar su programa de gestión de riesgos de terceros y obtener visibilidad sobre las debilidades de estos, póngase en contacto con nosotros hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
