Un ciberataque a gran escala
Recientemente, la empresa CSC ServiceWorks, un gigante en el sector de lavandería, ha revelado que decenas de miles de personas han visto comprometida su información personal tras un ciberataque que tuvo lugar en 2023. Este incidente ha suscitado preocupación, no solo por la magnitud del robo de datos, sino también por la duración del acceso no autorizado a sus sistemas.
CSC ServiceWorks, con sede en Nueva York, proporciona más de un millón de máquinas de lavandería conectadas a Internet en edificios residenciales, hoteles y campus universitarios en América del Norte y Europa. La compañía también cuenta con más de 3.200 empleados, según su página web. Este ataque es solo una de las múltiples cuestiones de seguridad que ha enfrentado la empresa en el último año.
El alcance del robo de datos
En una notificación de violación de datos presentada a finales del pasado viernes, CSC confirmó que el ataque afectó a al menos 35.340 individuos, incluyendo a más de un centenar de personas en Maine. Los datos robados incluyen nombres, fechas de nacimiento, información de contacto, documentos de identidad gubernamentales, como números de la Seguridad Social y de licencias de conducir, así como información financiera, como números de cuentas bancarias. Además, también se incluye información de seguros de salud, que comprende algunos datos médicos limitados.
Este tipo de información suele estar relacionada con los registros que las empresas mantienen sobre sus empleados, lo que sugiere que es plausible que el ataque afecte a trabajadores actuales y antiguos de CSC. Generalmente, los clientes no suelen ser solicitados para proporcionar este tipo de información.
Un acceso prolongado y su detección tardía
El informe de CSC indica que un intruso logró infiltrarse en sus sistemas el 23 de septiembre de 2023 y tuvo acceso a su red durante cinco meses, hasta el 4 de febrero de 2024, cuando la empresa finalmente descubrió la intrusión. No está claro por qué la empresa tardó tanto en detectar la violación de datos. Además, CSC afirmó que no fue hasta junio que pudo identificar qué información había sido robada.
Esta falta de transparencia sobre la detección y la naturaleza del ataque ha generado dudas sobre la eficacia de las medidas de seguridad implementadas por la compañía. La incapacidad para reaccionar de manera oportuna a un acceso no autorizado de tal magnitud pone en entredicho la gestión de riesgos cibernéticos de CSC.
La respuesta de CSC ante la crisis
Un portavoz de CSC, Stephen Gilbert, se negó a responder preguntas específicas sobre el incidente, incluyendo si la violación afecta a empleados, clientes o ambos. La empresa no ha proporcionado detalles sobre la naturaleza del ciberataque ni ha aclarado si ha recibido alguna comunicación por parte del actor de la amenaza, como una demanda de rescate.
Este comportamiento evasivo no es nuevo para CSC. A principios de este año, la empresa fue noticia por ignorar un fallo simple descubierto por dos investigadores de seguridad estudiantes, que permitía a cualquiera ejecutar ciclos de lavandería gratuitos. Después de semanas de intentos de alertar a la empresa sobre la vulnerabilidad, CSC finalmente parcharon el fallo y se disculpó con los investigadores.
Nuevas vulnerabilidades en el horizonte
A pesar de las medidas que la compañía ha tomado desde el ataque, los problemas de seguridad persisten. El mes pasado, se hicieron públicos los detalles de una nueva vulnerabilidad encontrada en las máquinas de lavandería impulsadas por CSC, que también permitía a los usuarios obtener lavandería gratuita. Michael Orlitzky, el investigador que descubrió el fallo, publicó en un blog que esta vulnerabilidad a nivel de hardware implica un cortocircuito de dos cables dentro de una máquina de lavandería de CSC, eludiendo así la necesidad de introducir monedas para operar la máquina.
Orlitzky está programado para presentar sus hallazgos en la conferencia de seguridad Def Con en Las Vegas, lo que pone de manifiesto que la empresa aún enfrenta serias cuestiones de seguridad que podrían afectar su reputación y su modelo de negocio.
El camino hacia la mejora
En respuesta a los problemas de seguridad, CSC ha establecido un programa de divulgación de vulnerabilidades, que permite a futuros investigadores de seguridad contactar directamente a la empresa para informar sobre errores o vulnerabilidades de manera privada. Esta iniciativa podría ser un paso positivo hacia la mejora de la seguridad de sus sistemas, pero queda por ver si será suficiente para restaurar la confianza de sus empleados y clientes.
A medida que la tecnología avanza, las empresas como CSC deben estar preparadas para enfrentar nuevos desafíos de seguridad. La protección de la información personal es esencial no solo para la reputación de la empresa, sino también para la seguridad de los individuos cuyos datos han sido comprometidos. En este contexto, es fundamental que las organizaciones adopten enfoques proactivos y transparentes para gestionar y mitigar los riesgos cibernéticos.
Otras noticias • Seguridad
Escándalo de privacidad: Blue Shield expone datos de 4.7 millones
Blue Shield de California ha compartido datos sensibles de 4.7 millones de pacientes con Google debido a una configuración incorrecta en Google Analytics. Este escándalo...
Endor Labs revoluciona la seguridad del código con IA
Endor Labs se centra en la seguridad del código generado por IA, ofreciendo herramientas para detectar vulnerabilidades y aplicar correcciones automáticas. Con una reciente financiación...
Cynomi recauda 37 millones para ciberseguridad de PYMEs
Cynomi, una startup de ciberseguridad, ha recaudado 37 millones de dólares para ofrecer un "CISO virtual" asequible a pequeñas y medianas empresas (PYMEs). Su enfoque...
Florida propone ley para regular acceso de menores a redes sociales
Un proyecto de ley en Florida busca regular el acceso de menores a redes sociales, exigiendo a las plataformas desactivar el cifrado en ciertas circunstancias....
Gobiernos implicados en uso de Pegasus según batalla legal WhatsApp
La batalla legal entre WhatsApp y NSO Group revela la implicación de gobiernos como México y Arabia Saudita en el uso del software espía Pegasus....
Apple actualiza iOS para corregir vulnerabilidades de seguridad críticas
Apple ha lanzado actualizaciones para corregir dos vulnerabilidades de seguridad en iOS, potencialmente explotadas por ataques sofisticados. Los usuarios deben actualizar sus dispositivos y estar...
Gobiernos violan privacidad de usuarios de WhatsApp en hackeo
La campaña de hackeo de 2019, revelada por NSO Group, involucra a gobiernos como México y Arabia Saudita en violaciones de privacidad de más de...
Hackeo de 4chan revela graves vulnerabilidades y genera preocupación
El hackeo de 4chan ha expuesto vulnerabilidades graves, generando preocupación por la seguridad y la privacidad de sus usuarios. La comunidad está dividida entre celebrar...
Lo más reciente
- 1
Competencia entre Claude y Codex redefine programación asistida por IA
- 2
Slate Auto abrirá planta en Indiana y creará 2.000 empleos
- 3
Conflicto entre Deel y Rippling escala por acusaciones de espionaje
- 4
Startups se adaptan a incertidumbre priorizando rentabilidad y fusiones
- 5
Obstáculos migratorios amenazan talento extranjero en investigación en EE. UU
- 6
Google transforma búsqueda en línea con resúmenes de IA
- 7
Bluesky sufre caída y reaviva debate sobre fiabilidad descentralizada