Ciberataque a CSC ServiceWorks expone datos de 35.000 usuarios

Un ciberataque a gran escala

Recientemente, la empresa CSC ServiceWorks, un gigante en el sector de lavandería, ha revelado que decenas de miles de personas han visto comprometida su información personal tras un ciberataque que tuvo lugar en 2023. Este incidente ha suscitado preocupación, no solo por la magnitud del robo de datos, sino también por la duración del acceso no autorizado a sus sistemas.

CSC ServiceWorks, con sede en Nueva York, proporciona más de un millón de máquinas de lavandería conectadas a Internet en edificios residenciales, hoteles y campus universitarios en América del Norte y Europa. La compañía también cuenta con más de 3.200 empleados, según su página web. Este ataque es solo una de las múltiples cuestiones de seguridad que ha enfrentado la empresa en el último año.

El alcance del robo de datos

En una notificación de violación de datos presentada a finales del pasado viernes, CSC confirmó que el ataque afectó a al menos 35.340 individuos, incluyendo a más de un centenar de personas en Maine. Los datos robados incluyen nombres, fechas de nacimiento, información de contacto, documentos de identidad gubernamentales, como números de la Seguridad Social y de licencias de conducir, así como información financiera, como números de cuentas bancarias. Además, también se incluye información de seguros de salud, que comprende algunos datos médicos limitados.

Este tipo de información suele estar relacionada con los registros que las empresas mantienen sobre sus empleados, lo que sugiere que es plausible que el ataque afecte a trabajadores actuales y antiguos de CSC. Generalmente, los clientes no suelen ser solicitados para proporcionar este tipo de información.

Un acceso prolongado y su detección tardía

El informe de CSC indica que un intruso logró infiltrarse en sus sistemas el 23 de septiembre de 2023 y tuvo acceso a su red durante cinco meses, hasta el 4 de febrero de 2024, cuando la empresa finalmente descubrió la intrusión. No está claro por qué la empresa tardó tanto en detectar la violación de datos. Además, CSC afirmó que no fue hasta junio que pudo identificar qué información había sido robada.

Esta falta de transparencia sobre la detección y la naturaleza del ataque ha generado dudas sobre la eficacia de las medidas de seguridad implementadas por la compañía. La incapacidad para reaccionar de manera oportuna a un acceso no autorizado de tal magnitud pone en entredicho la gestión de riesgos cibernéticos de CSC.

La respuesta de CSC ante la crisis

Un portavoz de CSC, Stephen Gilbert, se negó a responder preguntas específicas sobre el incidente, incluyendo si la violación afecta a empleados, clientes o ambos. La empresa no ha proporcionado detalles sobre la naturaleza del ciberataque ni ha aclarado si ha recibido alguna comunicación por parte del actor de la amenaza, como una demanda de rescate.

Este comportamiento evasivo no es nuevo para CSC. A principios de este año, la empresa fue noticia por ignorar un fallo simple descubierto por dos investigadores de seguridad estudiantes, que permitía a cualquiera ejecutar ciclos de lavandería gratuitos. Después de semanas de intentos de alertar a la empresa sobre la vulnerabilidad, CSC finalmente parcharon el fallo y se disculpó con los investigadores.

Nuevas vulnerabilidades en el horizonte

A pesar de las medidas que la compañía ha tomado desde el ataque, los problemas de seguridad persisten. El mes pasado, se hicieron públicos los detalles de una nueva vulnerabilidad encontrada en las máquinas de lavandería impulsadas por CSC, que también permitía a los usuarios obtener lavandería gratuita. Michael Orlitzky, el investigador que descubrió el fallo, publicó en un blog que esta vulnerabilidad a nivel de hardware implica un cortocircuito de dos cables dentro de una máquina de lavandería de CSC, eludiendo así la necesidad de introducir monedas para operar la máquina.

Orlitzky está programado para presentar sus hallazgos en la conferencia de seguridad Def Con en Las Vegas, lo que pone de manifiesto que la empresa aún enfrenta serias cuestiones de seguridad que podrían afectar su reputación y su modelo de negocio.

El camino hacia la mejora

En respuesta a los problemas de seguridad, CSC ha establecido un programa de divulgación de vulnerabilidades, que permite a futuros investigadores de seguridad contactar directamente a la empresa para informar sobre errores o vulnerabilidades de manera privada. Esta iniciativa podría ser un paso positivo hacia la mejora de la seguridad de sus sistemas, pero queda por ver si será suficiente para restaurar la confianza de sus empleados y clientes.

A medida que la tecnología avanza, las empresas como CSC deben estar preparadas para enfrentar nuevos desafíos de seguridad. La protección de la información personal es esencial no solo para la reputación de la empresa, sino también para la seguridad de los individuos cuyos datos han sido comprometidos. En este contexto, es fundamental que las organizaciones adopten enfoques proactivos y transparentes para gestionar y mitigar los riesgos cibernéticos.