Una multinacional se enfrenta a una debacle financiera tras un incidente que revela las peligrosas deficiencias en protocolos de seguridad de su proveedor de soporte técnico. La situación ha culminado en una demanda millonaria que pone de manifiesto que muchas veces el talón de Aquiles de la ciberseguridad no son los sofisticados métodos de ataque, sino simples errores humanos.
En un caso que parece sacado de una ficción, Clorox, gigante de productos de limpieza, sufrió pérdidas por valor de 380 millones de dólares después de que un atacante consiguiera acceso a su red corporativa utilizando solo una llamada telefónica. El responsable involuntario de abrir la puerta fue Cognizant. El atacante, presentándose como empleado sin contraseña, logró convencer al personal del centro de soporte para otorgarle acceso sin los procedimientos adecuados de autenticación o verificación.
La demanda presentada en los tribunales de California detalla cómo, sin preguntas ni verificaciones, se entregó una nueva contraseña, permitiendo al actor malicioso provocar un colapso operativo que se extendió por semanas. El desastre se tradujo en 50 millones de dólares solo en medidas de remediación, además de interrupciones logísticas y productivas que incrementaron notablemente las pérdidas.
Lo ocurrido resalta una problemática habitual: la confianza ciega en los procedimientos y el personal. No hubo hackeo avanzado ni malware; el fallo consistió en la falta de control y la excesiva confianza. Las normas internas indicaban cómo manejar las solicitudes de cambio de contraseña, pero simplemente no se aplicaron.
Este episodio plantea una pregunta crítica dentro del ámbito de la ciberseguridad: ¿Comienza esta en la tecnología o en las personas? La realidad demuestra que la cultura corporativa y los procesos humanos son tanto o más importantes que cualquier firewall. Enseñar a los operadores de soporte a verificar diligentemente solicitudes podría ser más efectivo que cualquier dispositivo tecnológico.
Este caso es un recordatorio contundente para todas las empresas: la ciberseguridad no puede relegarse a una cuestión tecnológica. Externalizar servicios críticos sin asegurarse de que cumplan con los más altos estándares de formación y control es una invitación al desastre. La falta de preguntas elementales es lo que ha dejado a Clorox en una situación vulnerable, con consecuencias que tardarán años en superar.
Es un llamado a la reflexión sobre cómo se manejan y procesan las peticiones de acceso a información crítica. La ciberseguridad va mucho más allá de sistemas avanzados, exige una revisión constante de los procesos humanos. Dramas como este nos instan a preguntarnos: ¿Están nuestros procedimientos preparados para resistir la próxima llamada engañosa?
Más información y referencias en Noticias Cloud.
