Seguridad | Ciberataque comprometedor

Ciberataque a CSC ServiceWorks expone datos de 35.000 usuarios

Un ciberataque a gran escala

Recientemente, la empresa CSC ServiceWorks, un gigante en el sector de lavandería, ha revelado que decenas de miles de personas han visto comprometida su información personal tras un ciberataque que tuvo lugar en 2023. Este incidente ha suscitado preocupación, no solo por la magnitud del robo de datos, sino también por la duración del acceso no autorizado a sus sistemas.

CSC ServiceWorks, con sede en Nueva York, proporciona más de un millón de máquinas de lavandería conectadas a Internet en edificios residenciales, hoteles y campus universitarios en América del Norte y Europa. La compañía también cuenta con más de 3.200 empleados, según su página web. Este ataque es solo una de las múltiples cuestiones de seguridad que ha enfrentado la empresa en el último año.

El alcance del robo de datos

En una notificación de violación de datos presentada a finales del pasado viernes, CSC confirmó que el ataque afectó a al menos 35.340 individuos, incluyendo a más de un centenar de personas en Maine. Los datos robados incluyen nombres, fechas de nacimiento, información de contacto, documentos de identidad gubernamentales, como números de la Seguridad Social y de licencias de conducir, así como información financiera, como números de cuentas bancarias. Además, también se incluye información de seguros de salud, que comprende algunos datos médicos limitados.

Este tipo de información suele estar relacionada con los registros que las empresas mantienen sobre sus empleados, lo que sugiere que es plausible que el ataque afecte a trabajadores actuales y antiguos de CSC. Generalmente, los clientes no suelen ser solicitados para proporcionar este tipo de información.

Un acceso prolongado y su detección tardía

El informe de CSC indica que un intruso logró infiltrarse en sus sistemas el 23 de septiembre de 2023 y tuvo acceso a su red durante cinco meses, hasta el 4 de febrero de 2024, cuando la empresa finalmente descubrió la intrusión. No está claro por qué la empresa tardó tanto en detectar la violación de datos. Además, CSC afirmó que no fue hasta junio que pudo identificar qué información había sido robada.

Esta falta de transparencia sobre la detección y la naturaleza del ataque ha generado dudas sobre la eficacia de las medidas de seguridad implementadas por la compañía. La incapacidad para reaccionar de manera oportuna a un acceso no autorizado de tal magnitud pone en entredicho la gestión de riesgos cibernéticos de CSC.

La respuesta de CSC ante la crisis

Un portavoz de CSC, Stephen Gilbert, se negó a responder preguntas específicas sobre el incidente, incluyendo si la violación afecta a empleados, clientes o ambos. La empresa no ha proporcionado detalles sobre la naturaleza del ciberataque ni ha aclarado si ha recibido alguna comunicación por parte del actor de la amenaza, como una demanda de rescate.

Este comportamiento evasivo no es nuevo para CSC. A principios de este año, la empresa fue noticia por ignorar un fallo simple descubierto por dos investigadores de seguridad estudiantes, que permitía a cualquiera ejecutar ciclos de lavandería gratuitos. Después de semanas de intentos de alertar a la empresa sobre la vulnerabilidad, CSC finalmente parcharon el fallo y se disculpó con los investigadores.

Nuevas vulnerabilidades en el horizonte

A pesar de las medidas que la compañía ha tomado desde el ataque, los problemas de seguridad persisten. El mes pasado, se hicieron públicos los detalles de una nueva vulnerabilidad encontrada en las máquinas de lavandería impulsadas por CSC, que también permitía a los usuarios obtener lavandería gratuita. Michael Orlitzky, el investigador que descubrió el fallo, publicó en un blog que esta vulnerabilidad a nivel de hardware implica un cortocircuito de dos cables dentro de una máquina de lavandería de CSC, eludiendo así la necesidad de introducir monedas para operar la máquina.

Orlitzky está programado para presentar sus hallazgos en la conferencia de seguridad Def Con en Las Vegas, lo que pone de manifiesto que la empresa aún enfrenta serias cuestiones de seguridad que podrían afectar su reputación y su modelo de negocio.

El camino hacia la mejora

En respuesta a los problemas de seguridad, CSC ha establecido un programa de divulgación de vulnerabilidades, que permite a futuros investigadores de seguridad contactar directamente a la empresa para informar sobre errores o vulnerabilidades de manera privada. Esta iniciativa podría ser un paso positivo hacia la mejora de la seguridad de sus sistemas, pero queda por ver si será suficiente para restaurar la confianza de sus empleados y clientes.

A medida que la tecnología avanza, las empresas como CSC deben estar preparadas para enfrentar nuevos desafíos de seguridad. La protección de la información personal es esencial no solo para la reputación de la empresa, sino también para la seguridad de los individuos cuyos datos han sido comprometidos. En este contexto, es fundamental que las organizaciones adopten enfoques proactivos y transparentes para gestionar y mitigar los riesgos cibernéticos.


Crear Canciones Personalizadas
Publicidad


Otras noticias • Seguridad

Fuga datos

Escándalo de privacidad: Blue Shield expone datos de 4.7 millones

Blue Shield de California ha compartido datos sensibles de 4.7 millones de pacientes con Google debido a una configuración incorrecta en Google Analytics. Este escándalo...

Seguridad código

Endor Labs revoluciona la seguridad del código con IA

Endor Labs se centra en la seguridad del código generado por IA, ofreciendo herramientas para detectar vulnerabilidades y aplicar correcciones automáticas. Con una reciente financiación...

Ciberseguridad asequible

Cynomi recauda 37 millones para ciberseguridad de PYMEs

Cynomi, una startup de ciberseguridad, ha recaudado 37 millones de dólares para ofrecer un "CISO virtual" asequible a pequeñas y medianas empresas (PYMEs). Su enfoque...

Regulación digital

Florida propone ley para regular acceso de menores a redes sociales

Un proyecto de ley en Florida busca regular el acceso de menores a redes sociales, exigiendo a las plataformas desactivar el cifrado en ciertas circunstancias....

Espionaje gubernamental

Gobiernos implicados en uso de Pegasus según batalla legal WhatsApp

La batalla legal entre WhatsApp y NSO Group revela la implicación de gobiernos como México y Arabia Saudita en el uso del software espía Pegasus....

Actualización seguridad

Apple actualiza iOS para corregir vulnerabilidades de seguridad críticas

Apple ha lanzado actualizaciones para corregir dos vulnerabilidades de seguridad en iOS, potencialmente explotadas por ataques sofisticados. Los usuarios deben actualizar sus dispositivos y estar...

Vigilancia estatal

Gobiernos violan privacidad de usuarios de WhatsApp en hackeo

La campaña de hackeo de 2019, revelada por NSO Group, involucra a gobiernos como México y Arabia Saudita en violaciones de privacidad de más de...

Ciberseguridad comprometida

Hackeo de 4chan revela graves vulnerabilidades y genera preocupación

El hackeo de 4chan ha expuesto vulnerabilidades graves, generando preocupación por la seguridad y la privacidad de sus usuarios. La comunidad está dividida entre celebrar...