Filtraciones de datos en el sector minorista

Hace unos días, publicamos un blog post en el que exponemos estadísticas, amenazas, retos y mejores prácticas en ciberseguridad para este sector. En esta ocasión, nos gustaría compartir algunos de los casos más destacados de ciberataques y filtraciones o violaciones de datos sufridos por conocidos minoristas multinacionales. Estos casos pueden servir como advertencia para otras compañías dentro y fuera de esta industria y como recurso de aprendizaje para evitar cometer errores similares en materia de ciberseguridad.

Under Armour, Inc. es una compañía estadounidense de prendas de vestir que fabrica y vende ropa deportiva, calzado y accesorios diseñados para mejorar el rendimiento atlético. En marzo de 2018, este minorista informó públicamente de una filtración de datos después de que su aplicación MyFitnessPal fuera hackeada, afectando aproximadamente a 150 millones de cuentas de usuario. Supuestamente, desde febrero de ese mismo año, los atacantes obtuvieron direcciones de correo electrónico, nombres de usuario y contraseñas cifradas, pero no información de seguridad social ni de tarjetas de pago. No obstante, la empresa pidió a sus usuarios a través de diversos canales de comunicación que cambiaran sus contraseñas. Entre las fuentes revisadas para este post, no hay ningún informe que revele el tipo de ataque o el coste financiero de esta violación de datos para Under Armour.

Forever 21 es una multinacional de moda conocida por su ropa y accesorios de tendencia a precios asequibles, principalmente para mujeres jóvenes y adolescentes. En noviembre de 2017, la empresa estaba investigando una posible filtración de datos que comprometía la información personal y de tarjetas de pago de sus clientes. La investigación se centró en las transacciones realizadas entre marzo y octubre de ese año. Poco después, Forever 21 confirmó la filtración de datos.

Al parecer, este minorista tenía sistemas o terminales de punto de venta (TPV) en algunas de sus tiendas que aún no habían recibido o nunca recibieron las actualizaciones de cifrado y autenticación que se suponía que había empezado a implementar en 2015. A partir de ahí, los atacantes accedieron a la red de Forever 21 e instalaron malware para robar información. Aunque se habla de datos de tarjetas de crédito comprometidos, no se informó del número de clientes afectados.

Fue en 2023 cuando los medios de comunicación hablaron de más de medio millón de afectados. Pero no, no en el ataque previamente mencionado, sino en uno nuevo, que al parecer comenzó en enero de ese año. Sin embargo, parece que entre los afectados, en este caso, solo había empleados actuales y antiguos del minorista cuya información personal se vio comprometida. Aunque no se reveló el tipo de ataque, los medios de comunicación dedujeron que podría haberse tratado de un ataque de ransomware. Hasta ahora, tampoco se han revelado los costes financieros de Forever 21.

eBay Inc. es una compañía estadounidense de comercio electrónico en la que personas y empresas venden y compran una amplia variedad de bienes y servicios en todo el mundo. En mayo de 2014, eBay pidió a sus usuarios que cambiaran sus contraseñas debido a un ataque que puso en peligro su base de datos de información personal. Esta incluía nombres, fechas de nacimiento, direcciones de correo electrónico, números de teléfono y contraseñas "cifradas". Lo que aparentemente no fue robado fueron los datos financieros, que se almacenaban por separado. Como en el caso de Under Armour, descrito anteriormente, llama la atención que eBay pidiera a sus clientes que cambiaran sus contraseñas, como si no confiara lo suficiente en sus métodos de cifrado.

Los atacantes habían conseguido acceder a la red de la empresa comprometiendo las credenciales de acceso de algunos empleados unos meses atrás. Se supone que el número total de usuarios afectados podría ascender a 145 millones. Pero, ¿lograron los hackers malintencionados obtener todos los datos de unas pocas cuentas de empleados? Eso resulta extraño. Supuestamente, al final no se registró ningún fraude financiero, pero toda esa información robada sabemos que puede ser útil para los ciberdelincuentes, por ejemplo, en sus campañas de ingeniería social. Al parecer, no se han revelado los costos para eBay.

Neiman Marcus es una cadena estadounidense de almacenes que ofrece marcas de diseño de alta gama en moda, accesorios y artículos para el hogar. En 2014, este minorista denunció haber sido víctima de una filtración de datos en la que se vio comprometida información de 1,1 millones de tarjetas de pago de clientes. El malware había sido instalado en sus sistemas y había actuado desde mediados de julio hasta finales de octubre de 2013. Para entonces, dijeron que no había conexión con el caso de Target (reportado como número uno de la lista en este post), pero muchas tarjetas de pago único ya habían sido utilizadas de forma fraudulenta.

A principios de 2019, la compañía llegó a un acuerdo con diferentes estados de la nación para entregar 1,5 millones de dólares en respuesta a este incidente de seguridad. Por aquel entonces, se afirmaba que, en realidad, el número de tarjetas comprometidas rondaba las 370 mil, de las cuales más de 9 mil habían sido utilizadas fraudulentamente.

A pesar de la respuesta de Neiman Marcus, que supuestamente también implicaba mejoras en la ciberseguridad, en 2021 la compañía comunicó una nueva violación de datos. Al parecer, se había producido hacía más de un año, en mayo de 2020, pero se descubrió en septiembre del año siguiente. Parece que unos 4,6 millones de cuentas de clientes, incluidos los números de sus tarjetas de pago e información personal, se vieron comprometidos. El minorista luego dijo que aproximadamente 3,1 millones de tarjetas de pago y de regalo virtuales se vieron afectadas para estos clientes.

The TJX Companies, Inc. es una multinacional estadounidense de venta al por menor que gestiona una cadena de grandes almacenes que ofrece ropa de marca y moda para el hogar con descuento. Esta compañía reveló a principios de 2007 que los registros de sus clientes habían estado en peligro durante casi dos años. Desde julio de 2005, los ciberdelincuentes habían accedido a la red de TJX e instalado programas maliciosos para robar la información personal y financiera de al menos 45,7 millones de clientes. (Al parecer, la cifra comunicada era muy inferior a la real; posteriormente se informó de que superaba los 95 millones). Las transacciones con tarjetas de crédito y débito se vieron afectadas en varias tiendas de TJX en países como Estados Unidos, Canadá, Puerto Rico y el Reino Unido.

Supuestamente, los atacantes obtuvieron dicho acceso a través de algunas de las TDV de TJ Maxx, una de las filiales de TJX. Se dice que su seguridad era bastante deficiente. Tenían fallos en la encriptación básica y en la seguridad del control de acceso. Además, la red inalámbrica de TJX estaba aparentemente protegida por Wired Equivalent Privacy (WEP), una de las formas más débiles de seguridad para este tipo de redes. Los hackers obtuvieron las credenciales de inicio de sesión de los empleados, crearon sus propias cuentas y, durante todo el tiempo señalado, recopilaron datos relacionados con las transacciones de los clientes. A partir de ahí, podían vender esta información en el mercado negro o utilizarla para el robo de activos. Al año siguiente, algunos hackers ya habían sido implicados y acusados de este y otros delitos similares.

Los costos iniciales de TJX para hacer frente a la filtración de datos, los informes de los usuarios y las mejoras de seguridad ascendieron a 5 millones de dólares, que no es nada comparado con lo que vino luego. Meses después, se añadieron otros 12 millones de dólares en cargos, y algunos medios estimaron que la suma alcanzaría los miles de millones de dólares. Con el paso del tiempo, la compañía se vio afectada por demandas interpuestas por usuarios e investigaciones y multas de organismos gubernamentales por incumplimiento de las leyes de protección al cliente.

The Home Depot, Inc. es un importante minorista estadounidense que ofrece una amplia gama de productos y servicios de mejora del hogar. En septiembre de 2014, esta empresa confirmó que sus sistemas de pago habían sido objeto de un ataque de malware similar al recibido por Target Corporation (véase el caso a continuación), que había comenzado en abril. Presuntamente, los atacantes utilizaron las credenciales de un proveedor externo para acceder a la red de Home Depot e instalaron malware para comprometer los sistemas PoS y robar datos de los clientes que utilizaban tarjetas de pago en Estados Unidos y Canadá. Según la empresa, ese malware no se había utilizado en ataques anteriores y estaba diseñado para eludir la detección por parte de software antivirus.

En este caso, más de 40 millones de clientes se vieron afectados. Inicialmente, se informó de que estaban comprometidos 56 millones de números de tarjetas de crédito y débito, pero en noviembre del mismo año se declaró que también estaban afectadas 53 millones de direcciones de correo electrónico. Estos datos de tarjetas de pago podrían haber sido utilizados por delincuentes para realizar compras fraudulentas en línea o crear tarjetas clonadas.

Una vez concluida la investigación, Home Depot tuvo que añadir mejoras de encriptación a sus TPV. Al parecer, también empezaron a acelerar la implantación de la tecnología chip-and-pin. Además, tuvieron que contratar a un jefe de seguridad de la información (CISO), formar a su personal en concienciación sobre seguridad e implantar la autenticación de dos factores (2FA), firewalls y pruebas de penetración, entre otras medidas de seguridad. Años más tarde, la compañía acabó pagando 17,5 millones de dólares en acuerdos con distintos estados, lo que suponía solo una parte de los costes totales, a los que se sumaron los litigios de clientes y diversas instituciones.

Target es una de las mayores empresas minoristas estadounidenses. Ofrece un amplio surtido de productos, como ropa, artículos para el hogar y comestibles, centrándose en el valor y el diseño. Target sufrió un ciberataque a finales de noviembre de 2013, al parecer en pleno Black Friday. Unas dos semanas después, su personal descubrió la brecha y la denunció al Departamento de Justicia de Estados Unidos. El ataque fue mitigado al cabo de dos días.

Al parecer, fue suficiente con comprometer a un solo proveedor de terceros de los muchos que podrían haber sido atacados para que el impacto fuera exitoso. En concreto, se trató de Fazio Mechanical, un contratista de refrigeración cuyas debilidades de ciberseguridad permitieron a los atacantes entrar en la red corporativa de Target. El vector de ataque fue un correo electrónico tipo phishing, que permitió instalar Citadel (una variante del troyano bancario Zeus) en las máquinas de Fazio, una compañía que no utilizaba adecuadamente software antimalware. Una vez dentro de la red de Target, que aparentemente estaba mal segmentada, los hackers pudieron encontrar y explotar vulnerabilidades para moverse lateralmente y luego obtener privilegios y tomar el control de los servidores. Por último, estos se infiltraron e infectaron las TPV de Target con malware para extraer información de tarjetas de crédito y débito y venderla en el mercado negro.

Los atacantes robaron datos de unas 40 millones de tarjetas de crédito y débito, junto con información personal de hasta 70 millones de clientes. Los costos de Target superaron los 200 millones de dólares, incluidos honorarios de abogados, indemnizaciones e inversiones en mejoras de seguridad. El costo real puede haber sido mucho mayor, teniendo en cuenta la pérdida de ventas, la pérdida de clientes y el daño a la cotización de sus acciones. En su momento fue una de las violaciones de datos más importantes de la historia. Incluso se dice que fue el primer caso en el que el CEO de una gran corporación fue despedido a causa de una filtración de datos. El incidente erosionó significativamente la confianza pública en las prácticas de seguridad de Target. Conllevó demandas judiciales, multas reglamentarias y una cobertura negativa en los medios de comunicación, lo que afectó a su imagen de marca y a la fidelidad de sus clientes durante años.

La filtración de datos de Target y los demás ciberataques aquí descritos pueden servir de llamado de atención para todos o al menos muchos miembros del sector minorista. Estos casos pusieron de manifiesto, entre otras cosas, las vulnerabilidades de sus redes y terminales de puntos de venta (TPV), la presencia de trabajadores poco cualificados en ciberseguridad y la necesidad de medidas de seguridad más estrictas y actualizadas. Tanto si eres minorista como si no, hoy en día la ciberseguridad no es solo una necesidad, sino también una obligación. Mediante la integración de pruebas de seguridad automatizadas y manuales, Fluid Attacks está aquí para ayudarte a evitar ser la próxima víctima que ocupe los titulares. Contáctanos.