1

Target ( o el esperado resultado de la ignorancia)

Target es una cadena de grandes almacenes fundada en Minneapolis, Estados Unidos, en 1962. Es la sexta empresa de retail más grande de Estados Unidos y se encuentra en la posición nº 36 de las empresas más grandes del mundo,
según la revista Fortune. Además, cuenta con 1,801 ubicaciones en todo Estados Unidos.

A finales de 2013, se descubrió que le habían robado a Target los números de tarjetas de crédito y débito de 40 millones de clientes, así como los datos personales de 70 millones de personas. A continuación se detallan los principales eventos:

  1. En Febrero de 2013, Target contrató a FireEye, Inc., una compañía de software de seguridad, para actualizar sus sistemas de seguridad informática. Uno de los servicios era proporcionar herramientas de detección de malware, incluyendo un equipo de especialistas en seguridad cuyo trabajo era monitorear los equipos de Target durante todo el día.
  2. Los atacantes empezaron probando las redes de ordenadores de varias grandes superficies, entre ellas Target. El sondeo les llevó hasta Fazio, un proveedor de sistemas de aire acondicionado y refrigeración para Target. Como parte del contrato, Fazio recibió credenciales de seguridad para la facturación electrónica, la gestión de proyectos y el envío de contratos, lo que le permitía tener acceso restringido a la red de Target.
  3. En algún momento de Septiembre de 2013, los hackers entaron en el sistema de Fazio con un email que contenía un malware llamado Citadel y robaron sus credenciales. Esto se debió en parte a la infeciente seguridad en Fazio, que poseía la versión gratuita de un antivirus, que no permitía su uso en empresas, y que no permitía realizar escaneos en en tiempo real.
  4. En Septiembre de 2013, numerosos miembros del personal de seguridad de Target detectaron vulnerabilidades en el sistema de tarjetas de pago de Target, debido a las actualizaciones realizadas en las cajas registradoras de Target, probablemente por el despliegue del software de seguridad realizado por FireEye. Las advertencias fueron ignoradas y no se realizaron investigaciones.
  5. En Septiembre de 2013, Target encargó una auditoría, que certificó que cumplía con todos los requisitos de la industria de pagos, incluyendo PCI DSS.
  6. El 15 de Noviembre de 2013, los hackers  se conectaron a la red informática de Target con las credenciales de Fazio. A pesar de Fazio solo debía tener un acceso limitado, la red de Target no está correctamente segmentada  para asegurar que sus partes más sensibles se encontrasen fuera de su red, vulnerabilidad que explotaron los hackers. Una vez dentro, instalan el software malicioso para el robo de tarjetas en unas pocas cajas registradoras.
  7. El 30 de Noviembre, los hackers instalan su malware en la mayoría de las cajas registradoras y comienzan a recopilar los datos de las tarjetas en las transacciones de los clientes en tiempo real. El funcionamiento del malware era el siguiente: cuando un cliente pasaba su tarjeta por la caja registradora, el malware intervenía y recuperaba el número y cualquier información sensible. Después almacenaban esa información en los servidores de Target y, a través de otro malware instalado en dichos servidores, empezaron a extraer los datos obtenidos de la red de Target a su red. El software de FireEye y el antivirus corporativo que poseía Target, Symantec, empiezan a enviar alertas sobre la presencia del malware, pero el equipo de seguridad decide ignorarlas.
  8. Durante dos semanas en Diciembre de 2013, el malware estuvo extrayendo información de los clientes, sin que nada ni nadie le interrumpiese.
  9. En Diciembre de 2013, se ponen a la venta las tarjetas de crédito en varias páginas ilegales de compra-venta de tarjetas.
  10. El 12 de Diciembre de 2013, los bancos empiezan a recibir incidencias sobre la aparición de cargos fraudulentos en tarjetas que habían sido usadas recientemente en Target. Ese mismo día, el Departamento de Justicia de EE.UU contacta con Target.
  11. El 15 de Diciembre de 2015, tres días después de recibir la notificación, tiempo durante el cual Target estuvo tratando de confirmar la notificación y los hackers siguieron robando información, Target empieza a purgar su sistema informático , y después de dos semanas de la recopilación de datos ininterrumpida, Target suspendió la mayoría de los malwares encargados de recoger la información personal.