Pregunta: ¿Qué pasos siguieron los ciberdelincuentes para cometer el robo? ¿Qué factores permitieron que se produjera este robo? ¿Cuáles son las consecuencias del incumplimiento para las diferentes partes interesadas? ¿Qué estás aprendiendo de este caso? CASO DE ESTUDIO_ Autopsia de una violación de datos: el caso objetivo El 19 de diciembre de 2013, Target, el

¿Qué pasos siguieron los ciberdelincuentes para cometer el robo?
¿Qué factores permitieron que se produjera este robo?
¿Cuáles son las consecuencias del incumplimiento para las diferentes partes interesadas?
¿Qué estás aprendiendo de este caso?

CASO DE ESTUDIO_

Autopsia de una violación de datos: el caso objetivo

El 19 de diciembre de 2013, Target, el segundo minorista más grande de los Estados Unidos, anunció una violación que involucró el robo de datos de más de 40 millones de tarjetas de crédito y débito utilizadas para realizar compras en sus tiendas estadounidenses entre el 27 de noviembre y el 18 de ^diciembre.4

El 10 de enero de 2014, informó que los ciberdelincuentes también habían robado datos personales, incluidos nombres, números de teléfono, domicilios particulares y direcciones de correo electrónico de hasta 70 millones de clientes adicionales.

El descubrimiento

Como suele ser el caso en tales situaciones, Target se enteró de la violación de datos de las agencias de aplicación de la ley. De hecho, el 13 de diciembre de 2013, representantes del Departamento de Justicia de EE. UU. notificaron a la gerencia de Target sobre una gran cantidad de transacciones fraudulentas con tarjetas de crédito y débito que parecían compartir un enlace a transacciones realizadas en Target. Después de esta reunión, Target contrató a una empresa de informática forense para investigar la infracción. Los resultados confirmaron sus peores temores: los ciberdelincuentes habían estado pirateando los sistemas de Target y robando datos de 40 millones de tarjetas de débito y crédito utilizadas en sus establecimientos de EE. UU. desde el 27 de noviembre. Target no perdió tiempo en erradicar todo el software utilizado por los ciberdelincuentes, pero a pesar de la afán de sofocar las noticias, se corrió la voz y los reporteros comenzaron a hacer preguntas.

El 19 de diciembre, bajo una creciente presión, Target anunció la violación y el robo de los datos. Su sitio web y centro de llamadas se inundaron rápidamente con llamadas de consumidores preocupados, creando un escenario de pesadilla para su departamento de servicio al cliente. Para empeorar las cosas, la brecha

ocurrió durante la temporada de compras previa a la Navidad, que incluyó el Black Friday, uno de los días más ocupados del año para los minoristas tradicionales. La filtración de datos afectó aproximadamente al 10% de todas las tarjetas de débito y crédito en circulación en los Estados Unidos.

Las instituciones financieras que habían emitido las tarjetas de las que se robaron los datos reaccionaron rápidamente al anuncio de Target. Normalmente, para minimizar las pérdidas, los bancos simplemente cancelarían las tarjetas y emitirían otras nuevas. Sin embargo, debido a la gran cantidad de tarjetas afectadas y los costos masivos involucrados, y debido a que la temporada navideña es un mal momento para que los consumidores no puedan pagar sus compras (sin la posibilidad de pagar con tarjeta de crédito o retirar efectivo de un cajero automático utilizando una tarjeta de débito), los bancos buscaron soluciones alternativas. JP Morgan Chase, por ejemplo, que tenía al menos dos millones de clientes afectados, rápidamente impuso límites estrictos a los retiros ($100 en efectivo por día; límite de $300 en compras con tarjeta) por parte de sus clientes potencialmente afectados hasta que se pudieran emitir nuevas tarjetas. Los bancos, que se quedaron solos para manejar la brecha, enfrentaron desafíos financieros y logísticos extraordinarios.

Al mismo tiempo, Target lanzó una importante operación de relaciones públicas. Aseguró a sus clientes que el componente tecnológico responsable de la brecha había sido encontrado y destruido y que podían continuar comprando con confianza en sus tiendas. También prometió que nadie sería responsable por transacciones fraudulentas y ofreció una suscripción gratuita a un servicio de monitoreo de crédito. Con la ayuda de una firma especializada, Target continuó su investigación de esta importante brecha en un esfuerzo por llegar al fondo de lo que había salido mal. El Departamento de Justicia y el Servicio Secreto de los Estados Unidos hicieron lo mismo.

Entonces, ¿qué pasó?

Los expertos coinciden en que el ataque fue perpetrado por ciberdelincuentes que utilizaron una estrategia conocida y que en realidad son herramientas tecnológicas bastante convencionales. Entre el 15 y el 27 de noviembre, los piratas lograron penetrar en la red de puntos de venta de Target (la mayoría de las cajas registradoras hoy en día son en realidad computadoras) e instalar malware en las terminales. El malware se parecía a un programa ampliamente conocido llamado BlackPOS , que supuestamente se originó en Rusia. Disponible por alrededor de $ 2,000 en el mercado negro, este software está diseñado para instalarse en terminales de punto de venta y capturar todos los datos almacenados en tarjetas de crédito y débito que se deslizan en la terminal infectada. Este tipo de software malicioso, conocido como raspador de memoria, hace una copia de los datos en el punto donde son más vulnerables, es decir, en el instante en que el servidor que procesa la transacción tiene que almacenar los datos sin procesar (sin cifrar) en su memoria de acceso aleatorio durante unos pocos milisegundos. En este caso, los datos copiados se guardaron inmediatamente en uno de los servidores web de Target, que había sido pirateado. Este tipo de malware es particularmente peligroso porque es difícil que el software de detección de intrusos generalmente utilizado lo detecte. Además, el malware generalmente está diseñado para eliminar cualquier rastro que quede, lo que dificulta evaluar el alcance del daño sin una investigación criminal en profundidad. La mayoría de las veces, las organizaciones ni siquiera saben que han sido infectadas; de hecho, los estudios muestran que la empresa víctima tarda una media de 229 días en detectar una infracción de este tipo. Al igual que en el caso de Target, las agencias de aplicación de la ley a menudo entregan las noticias a raíz de las quejas de los bancos que notan un nivel inusualmente alto de transacciones fraudulentas que parecen conducir al mismo minorista.

Así, entre el 15 y el 27 de noviembre, los ciberdelincuentes realizaron pruebas para asegurarse de que todo funcionaba correctamente. Unos días después, instalaron el malware en todos los terminales de Target (aproximadamente 1.800 dispositivos), que luego comenzaron a hacer una copia de los números de todas las tarjetas utilizadas. Cada día, para no llamar la atención, los ciberdelincuentes aprovechaban su capacidad de acceso remoto para recuperar una copia de los datos acumulados (más de 11 gigabytes), trabajando entre las 10:00

am y 6:00 pm durante los períodos normales de tráfico pico de la red. Luego, estos datos se copiaron en tres servidores fuera de Target, muy probablemente sin el conocimiento de sus propietarios; según se informa, había un servidor en Miami, uno en Brasil y otro en los Estados Unidos. ¹ Aparentemente, la investigación descubrió una copia de los datos arrojados por descuido en uno de estos servidores que había sido utilizado como almacenamiento temporal.

¿Cómo lograron los ciberdelincuentes perpetrar este robo?

Target estaba realmente bien protegido contra este tipo de ataque, que es bastante común. Target fue considerado un líder en seguridad cibernética en la industria minorista, ya que invirtió masivamente en capital y recursos para garantizar la seguridad de su infraestructura de TI. Contaba con varias capas de protección, incluida la segmentación, los cortafuegos, el software de detección de malware, el software de detección de intrusos, las herramientas de prevención y los planes para evitar la pérdida de datos. Tanto expertos internos como consultores externos realizaron periódicamente pruebas y auditorías de todas estas medidas de seguridad. En septiembre de 2013, se certificó que Target cumple con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), un estándar internacional que establece los niveles mínimos de seguridad que deben cumplir los comerciantes pequeños y grandes al almacenar, procesar y transmitir tarjetas de crédito. datos.

Sin embargo, ninguna de estas medidas impidió que los ciberdelincuentes encontraran y explotaran vulnerabilidades en la infraestructura de TI de Target. Uno de sus proveedores, la empresa de HVAC Fazio Mechanical Services, con sede en Pensilvania, tenía acceso remoto a la red de Target con fines de facturación electrónica, presentación de contratos y gestión de proyectos. Según los informes, la investigación descubrió que los ciberdelincuentes obtuvieron el código de usuario y la contraseña de esta empresa mediante el envío de un simple correo electrónico de phishing al que respondió un empleado de Fazio. Con esta información en su poder, los ciberdelincuentes pudieron penetrar remotamente en la red de Target y, aprovechando vulnerabilidades en las medidas de seguridad implementadas, lograron acceder a la red del sistema de pago de la empresa, que estaba vinculada a la red de terminales de punto de venta. Esto despejó el camino para que instalaran su malware.

Pero incluso con este acceso no autorizado, Target estaba, al menos en teoría, protegido contra este tipo de ataques. De hecho, seis meses antes, había invertido la bonita suma de 1,6 millones de dólares para implementar un sistema antimalware llamado FireEye (los clientes incluyen la industria de defensa, la CIA, el Pentágono y Bombardier Aerospace). FireEye es un sistema de monitoreo avanzado para infraestructura de TI. Basado en el principio de prevención en lugar de detección, funciona mediante la creación de cámaras virtuales a las que se atrae a los piratas informáticos para que puedan ser detectados antes de que logren penetrar en el sistema bajo protección. Un equipo de expertos en Bangalore, trabajando día y noche, supervisó los resultados de estas actividades de seguimiento. Si el equipo notó alguna actividad sospechosa,

alertaría al equipo en el centro de operaciones de seguridad de Target en Minneapolis (ubicación de su sede), que luego entraría en acción o, en este caso, optaría por no hacer nada...

De hecho, Target reconoció públicamente que se habían recibido alertas crecientes (la última de las cuales eran alertas de nivel 1, la más alta emitida por el sistema de monitoreo) a partir del 30 de noviembre y que sus equipos locales las habían analizado y consideraban que no era necesaria ninguna acción. Si los expertos de Target hubieran hecho un mejor trabajo al evaluar las alertas recibidas, el ataque contra la infraestructura de Target podría haberse frustrado, ya que la investigación muestra que la primera alerta se emitió antes de que se transfirieran los primeros datos. El software de seguridad en sí habría podido prevenir el ataque, ya que tiene una característica similar a un programa antivirus que erradica automáticamente el software que se considera "malicioso" o "no autorizado". Sin embargo, los expertos de Target habían desactivado esta función porque el sistema era nuevo y aún no confiaban completamente en él. A finales de noviembre, incluso el propio sistema antivirus de Target había detectado actividades sospechosas en el servidor protegido por FireEye. Esta alerta adicional también fue ignorada.

¿Quién cometió el robo? ¿Quiénes son los sospechosos?

Como es el caso de los robos físicos de activos de alto valor, los robos de datos a gran escala como el ataque contra Target suelen ser obra de un equipo organizado de ciberdelincuentes, que operan a nivel internacional, cuyos miembros tienen habilidades sofisticadas y complementarias (programación de malware, intrusión en la red , gestión de servidores, venta de datos robados, ocultación de bienes robados, etc.). Al rastrear los datos, se descubrió que, después de almacenarse en tres servidores temporales, los datos finalmente se transfirieron a un servidor en Moscú. Un análisis más detallado del código de malware y los servidores utilizados reveló que todos los indicios apuntaban a un grupo de ciberdelincuentes endurecidos con sede en Rusia y Ucrania, dos países que, junto con Rumania, han formado un centro central para el robo y la venta de datos a través de Internet. los últimos 10 años. La persecución internacional que siguió condujo a la identificación del principal sospechoso y cabecilla de la operación: un ucraniano de 22 años que supuestamente ya había estado implicado en casos de robo de datos en su país. También se creía que el mismo grupo estaba relacionado con al menos otras seis filtraciones importantes de datos durante los dos años anteriores y con un ataque similar contra Home Depot en el verano de 2014.

Los datos robados de Target terminaron rápidamente a la venta en una de las tiendas en línea más populares para datos robados (rescator.so). Este sitio web del mercado negro ofrece la posibilidad de comprar datos de una sola tarjeta o de lotes de 1000 tarjetas, con un descuento. Los usuarios pueden buscar por ciudad, región geográfica, banco, tipo de tarjeta, fecha de vencimiento, etc. El precio varía según el tipo de tarjeta: desde $6 por una tarjeta de regalo hasta $200 por datos de una tarjeta de crédito American Express Platinum. Parece que las tarjetas Target se vendieron en lotes de un millón de tarjetas, con precios que oscilaban entre

$20 a $100 por tarjeta. El sitio también ofrece un servicio al cliente impecable, lo que permite a los usuarios pagar en bitcoin (o monedas similares) o mediante Western Union. Incluso ofrece una garantía de vigencia en cuanto a la duración (por ejemplo, seis horas) o el monto mínimo en la tarjeta ($1.000, por ejemplo). El tiempo es un factor crucial en esta industria: los delincuentes tienen que comprar el número y clonar la tarjeta para realizar compras en la tienda, pero pueden agotar rápidamente el límite de crédito comprando en línea. A menudo compran tarjetas de regalo que tienen una fecha de vencimiento más larga. Eventualmente, el sistema de seguridad del banco o el consumidor detectan transacciones sospechosas y la tarjeta se cancela rápidamente. Luego, los ladrones comienzan el proceso nuevamente con una nueva tarjeta.