AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Clorox demanda a Cognizant por su papel en un ciberataque devastador tras grave negligencia en gestión de credenciales

admin

Introducción

En agosto de 2023, la multinacional estadounidense Clorox sufrió un ciberataque de gran envergadura que paralizó operaciones críticas, afectando tanto a la cadena de suministro como a la disponibilidad de productos. Ahora, Clorox ha presentado una demanda contra Cognizant Technology Solutions, uno de los mayores proveedores de servicios IT a nivel global, alegando negligencia grave por parte de la consultora. El epicentro del conflicto reside en la supuesta autorización errónea de un restablecimiento de contraseña que permitió a los atacantes acceder a sistemas internos de Clorox sin una verificación de identidad adecuada.

Contexto del Incidente

El incidente se produjo en el contexto de una relación contractual entre Clorox y Cognizant, donde la segunda gestionaba servicios críticos de TI, incluyendo soporte a usuarios y gestión de credenciales. Según la demanda presentada en el Tribunal Superior de California, un operador del servicio de asistencia técnica de Cognizant restableció la contraseña de un empleado de Clorox a petición de un actor malicioso que se hizo pasar por el trabajador, sin seguir los procedimientos de autenticación establecidos.

El ataque resultante tuvo consecuencias significativas: interrupción de las operaciones de fabricación, retrasos en la distribución y pérdidas económicas que, según estimaciones preliminares de Clorox, podrían superar los 356 millones de dólares. El incidente también afectó al valor bursátil de la empresa y generó una investigación federal sobre la protección de datos personales en virtud de la GDPR y la CCPA.

Detalles Técnicos

Aunque Clorox no ha revelado la cadena de ataque completa, la información judicial y fuentes del sector permiten reconstruir los vectores explotados. El ataque se ajusta al patrón de TTPs (Tactics, Techniques and Procedures) MITRE ATT&CK, concretamente técnicas de ingeniería social (T1598 – Phishing for Information) y abuso de funciones de helpdesk (T1078.001 – Valid Accounts: Default Accounts).

El incidente se inició con una llamada telefónica —técnica conocida como vishing— en la que un actor de amenazas se hizo pasar por un empleado legítimo y solicitó el restablecimiento de la contraseña de su cuenta corporativa. El operador de Cognizant, saltándose el procedimiento de verificación multifactor, procedió a cambiar la contraseña y proporcionó acceso a la cuenta comprometida.

Una vez dentro, los atacantes emplearon herramientas de post-explotación, presumiblemente frameworks como Cobalt Strike o Metasploit, para el movimiento lateral y la escalada de privilegios (T1075 – Pass the Hash, T1086 – PowerShell). Posteriormente, desplegaron malware de tipo ransomware y exfiltraron datos sensibles, incluyendo información de clientes y proveedores.

Indicadores de compromiso (IoC) identificados incluyen direcciones IP asociadas a infraestructura de C2 (Command & Control) conocida, hashes de archivos maliciosos detectados en endpoints y patrones de comportamiento anómalo en logs de autenticación.

Impacto y Riesgos

El impacto del ataque se refleja en varios frentes. Operativamente, Clorox se vio obligada a suspender la producción en múltiples plantas y a operar manualmente procesos críticos durante semanas. El tiempo medio de inactividad (MTTR) superó los 30 días, con pérdidas de ingresos directos e indirectos que aún están siendo evaluadas.

Desde el punto de vista de la seguridad, la exposición de credenciales y datos personales plantea riesgos de cumplimiento normativo bajo la GDPR y la NIS2, especialmente en lo referente a la notificación de incidentes y la protección de datos sensibles. La demanda subraya la responsabilidad contractual y legal de los proveedores de servicios gestionados (MSP), un aspecto cada vez más vigilado por los reguladores tras incidentes recientes en la cadena de suministro.

Medidas de Mitigación y Recomendaciones

El caso Clorox-Cognizant pone de relieve la necesidad de fortalecer los controles de acceso y autenticación en servicios de helpdesk. Los expertos recomiendan:

– Implantar autenticación multifactor (MFA) obligatoria en todos los procesos de restablecimiento de contraseña.
– Auditorías periódicas de los workflows de soporte, incluyendo simulacros de ingeniería social.
– Registro exhaustivo y monitorización de logs de cambios críticos en usuarios privilegiados.
– Formación continua a operadores de helpdesk sobre amenazas de vishing y suplantación.
– Segmentación de redes y limitación de privilegios para minimizar el movimiento lateral en caso de compromiso.

Opinión de Expertos

Consultores de seguridad y CISOs coinciden en que los MSP son un eslabón crítico en la seguridad de la cadena de suministro. “La externalización de funciones esenciales no exime a las empresas de exigir y verificar controles robustos; la negligencia en la gestión de credenciales es una de las principales causas de brechas de seguridad”, señala Javier Gómez, CISO de una entidad bancaria española.

Asimismo, especialistas en cumplimiento normativo advierten que, bajo la NIS2 y la GDPR, las empresas pueden ser co-responsables de las acciones de sus proveedores, lo que refuerza la importancia de cláusulas contractuales específicas y auditorías externas regulares.

Implicaciones para Empresas y Usuarios

Este incidente refuerza la tendencia actual del mercado hacia la “Zero Trust”, donde cada solicitud de acceso se valida independientemente del origen. Asimismo, aumenta la presión sobre los MSP para invertir en formación, automatización y soluciones de seguridad avanzada, ante una oleada de ataques que explotan la ingeniería social y los procesos internos.

Para los usuarios finales, la brecha subraya la importancia de reportar cualquier anomalía y estar alerta ante intentos de suplantación de identidad, incluso dentro de canales oficiales.

Conclusiones

El litigio entre Clorox y Cognizant marca un precedente importante en la responsabilidad de los proveedores ante incidentes de ciberseguridad derivados de errores operativos. Más allá de las pérdidas económicas, el caso ilustra la urgencia de revisar y reforzar procedimientos internos, especialmente en funciones de soporte y gestión de identidades. En un entorno regulatorio cada vez más estricto, la colaboración activa entre clientes y MSP será clave para anticipar y mitigar riesgos crecientes.

(Fuente: www.bleepingcomputer.com)