La multinacional de bienes de consumo Clorox ha iniciado acciones legales contra el proveedor de servicios de TI Cognizant tras un catastrófico ciberataque en agosto de 2023 que interrumpió operaciones de manufactura y le costó a la empresa decenas de millones en daños. La demanda alega sorprendentes fallos de seguridad que permitieron a los atacantes acceder a sistemas críticos mediante lo que parecen ser tácticas elementales de ingeniería social.
Según documentos judiciales, los atacantes comprometieron los sistemas de Clorox después de que personal de Cognizant supuestamente proporcionó contraseñas administrativas al ser solicitadas, sin seguir procedimientos adecuados de verificación. Este compromiso de credenciales permitió la posterior implementación de ransomware que obligó a Clorox a desconectar porciones significativas de su infraestructura tecnológica, causando retrasos generalizados en producción y escasez de productos en Norteamérica.
La filtración, atribuida a un grupo conocido por campañas sofisticadas de ingeniería social, explotó lo que los profesionales de seguridad consideran una de las vulnerabilidades más básicas: los factores humanos en la gestión de credenciales. En lugar de requerir autenticación multifactor o implementar protocolos de gestión de acceso privilegiado, el sistema supuestamente permitió que credenciales de un solo factor funcionaran como llaves maestras virtuales para la infraestructura digital de Clorox.
Expertos en ciberseguridad que siguen el caso señalan que este incidente revela múltiples capas de fallos de seguridad:
- Ausencia de principios de confianza cero en la gestión de acceso de proveedores
- Falta de aprovisionamiento justo a tiempo para credenciales sensibles
- Capacitación inadecuada contra ingeniería social para personal de soporte
- Incumplimiento en implementar políticas básicas de rotación de credenciales
'No fue un APT avanzado explotando vulnerabilidades de día cero', señaló el especialista en respuesta a incidentes Mark Henderson. 'Estamos hablando de fallos básicos de seguridad que dieron a los atacantes las llaves del reino mediante lo que equivale a una solicitud educada.'
La batalla legal probablemente se centrará en si Cognizant violó sus obligaciones contractuales de seguridad y el estándar de cuidado requerido. El resultado podría redefinir cómo las empresas estructuran sus requisitos de seguridad para terceros y cláusulas de responsabilidad por incidentes. Para la comunidad de ciberseguridad, el caso sirve como un recordatorio contundente de que muchas filtraciones devastadoras aún se originan en aspectos básicos descuidados más que en sofisticados exploits técnicos.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.