Lecciones del hackeo a la consultora Deloitte

Deloitte ha sido hackeada. Esta firma de consultoría y auditoría —que en su año fiscal que concluyó el 31 de mayo de 2017 registró una facturación de 38,800 millones de dólares a escala global— ofrece un servicio de ciberseguridad con el objetivo de “mantener los riesgos en niveles reducidos” y “defenderse contra amenazas conocidas y emergentes”. Dice su sitio web para México: “Ayudamos a los clientes a elaborar e implementar estrategias y programas empresariales para administrar los riesgos tecnológicos y de información; prepararse y responder a incidentes; detectar proactivamente amenazas, y encontrar el balance adecuado entre la administración y la contención de costos”. Después de los hechos revelados por el periódico The Guardian el 25 de septiembre, habrá que sugerirle a Deloitte o que se inscriba a su propio programa de ciberseguridad o que contrate a una compañía que sí pueda ayudarles en la materia.

Cualquier organización es susceptible de sufrir un ataque cibernético, es cierto, pero cuando le ocurre a Deloitte y la compañía lo oculta durante meses más vale voltear hacia los reguladores y exigirles castigos más severos contra las organizaciones que manejan datos personales o corporativos de terceros y que son incapaces de protegerlos. Deloitte tiene una práctica especializada en la mitigación de riesgos cibernéticos y fue allí donde falló. Es una vergüenza.

De acuerdo con The Guardian, porque Deloitte no ha dado suficiente información pública sobre el tema, los atacantes accedieron a una base de datos de correos electrónicos de ejecutivos y personal de la compañía desde octubre o noviembre de 2016 hasta marzo de 2017, cuando el equipo de seguridad detectó la brecha y —suponemos— la cerró. Entonces contrató a un equipo de informática forense para investigar el hackeo y los servicios del despacho Hogan Lovells para los análisis de riesgos jurídicos. “Además de los correos electrónicos, los hackers tuvieron acceso potencial a nombres de usuarios, contraseñas, direcciones IP, diagramas de negocios e información de salud. Algunos correos electrónicos tenían documentos adjuntos con detalles de seguridad y diseño sensibles”, informó el periódico británico.

El 25 de septiembre, cuando The Guardian reveló la historia, Deloitte publicó en su sitio web un comunicado de 150 palabras titulado “Declaración de Deloitte sobre Incidente Cibernético” en el que asegura que implementó protocolos de seguridad para determinar el alcance del hackeo, que contactó a las autoridades en cuanto conoció el caso y que se comunicó con cada uno de “los pocos clientes impactados” por el incidente. No dio detalles sobre los protocolos implementados, no dijo a cuáles autoridades contactó ni especificó un número preciso de clientes impactados.

Por ejemplo, no sabemos si entre esos clientes hay mexicanos. Se buscó información con el equipo de prensa de Deloitte en México, pero un vocero de la compañía aseguró que la información “respecto de Deloitte Consulting México aún está definiéndose”. Tampoco sabemos qué tipo de información estuvo a disposición del o los atacantes ni qué industrias cubiertas por Deloitte se encuentran entre las afectadas. Tampoco sabemos si Deloitte contactó al Inai, órgano garante para la protección de datos personales en México, o a la Procuraduría General de la República para denunciar el ataque cibernético.

De acuerdo con The Guardian, el o los atacantes accedieron al servicio de correo electrónico de Deloitte a través de una cuenta de administrador, que sólo requería una contraseña de acceso y no contaba con la verificación de “dos pasos” tan común en los protocolos de acceso a sistemas informáticos sensibles. Es como si hubieran dejado la llave de la puerta debajo del tapete de la entrada. Si así asesora Deloitte a sus clientes del programa de ciberseguridad, más vale que enciendan las alarmas porque posiblemente alguien les está viendo la cara.

Este artículo originalmente se publicó en El Economista el 8 de octubre de 2017.

Comentarios