El fabricante de productos de limpieza Clorox ha presentado una demanda por 380 millones de dólares contra Cognizant, un proveedor de servicios informáticos. La primera acusa a la segunda de permitir que criminales accedieran a sus sistemas corporativos y vulneraran su capacidad de producción durante meses.
Todo comenzó en agosto de 2023 cuando un ciberdelincuente, supuestamente afiliado a Scattered Spider llamó al servicio de asistencia técnica de Cognizant, haciéndose pasar por un empleado de Clorox para solicitar las credenciales de acceso. Cognizant se las proporcionó de inmediato y sin verificar su identidad.
El protocolo que Cognizant no siguió
La demanda, revisada por Reuters, afirma que los miembros de Scattered Spider fueron capaces de hacer esto no una, sino en repetidas ocasiones. Ahora Clorox acusa a los empleados de Cognizant de no seguir los procedimientos establecidos para autenticar a las personas que solicitaban ayuda para recuperar o restablecer contraseñas.
Security Boulevard explica que la herramienta de verificación y restablecimiento de contraseñas de Clorox era MyID. El procedimiento que, según Clorox, Cognizant no siguió, consistía en dirigir a los usuarios a dicha herramienta. De no estar disponible, un agente debía solicitar al empleado el nombre de su gerente y su nombre de usuario en MyID antes de restablecer el acceso.
El agente también debía enviar correos de confirmación tanto al empleado como a su gerente. Clorox acusa que Cognizant le aseguró repetidamente que el servicio de atención a clientes seguía adecuadamente el protocolo. Sin embargo, la compañía dijo que lo acontecido el 11 agosto de 2023 "demostró de forma espectacular que no lo estaba haciendo".
Reuters recoge una de las transcripciones que presenta la demanda de las supuestas llamadas entre el hacker y un agente de Cognizant:
Hacker: "No tengo contraseña, así que no puedo conectarme"
Agente: "Ah, vale. Vale. Entonces, déjame darte la contraseña, ¿de acuerdo?".
Cognizant responde a Clorox
De acuerdo con Society for Computers & Law, Clorox alega que Cognizant gestionó de forma deficiente su respuesta ante incidentes y recuperación antes desastres, lo que, según la marca, agravó la situación.
Ante esto, el proveedor de servicios de TI ha asegurado que no estaba a cargo de la ciberseguridad de Clorox. Además acusó a la empresa de contar con un "sistema interno de ciberseguridad tan ineficaz para mitigar este ataque". Sobre la demanda, señaló:
"Clorox ha intentado culparnos de estos fallos, pero la realidad es que Clorox contrató a Cognizant para un alcance limitado de servicios de soporte técnico, los cuales Cognizant realizó de forma razonable."
El error de Cognizant, según un experto
Sin embargo, el especialista Rom Camel dijo que "la afirmación de Cognizant de que no gestionó la ciberseguridad de Clorox es errónea". Camel asegura que "en la era de la nube", es necesario reducir al mínimo la superficie de ataque de los piratas informáticos, ya que una sola identidad comprometida puede derivar en daños masivos.
El director ejecutivo de la empresa Apono, señaló que ciberdelincuentes como Scattered Spider se aprovechan de la ingeniería social y la confianza en los servicios de asistencia técnica para hacerse con el control de cuentas. Explica que "el hecho de que un servicio de asistencia técnica supuestamente no verificara a un usuario pone de manifiesto la importancia de la seguridad por capas".
Imagen de portada | Wikimedia Commons.
En Xataka México | El Infonavit quiso quitarle su casa; terminó ganando el juicio y ahora exige casi 200,000 pesos en compensación.
Ver 0 comentarios