Clorox demandó a su proveedor de soporte técnico,Cognizant,por un monto de 380 millones de dólares,por otorgar credenciales por teléfono a un presunto empleado y sin verificar.

Imagen generada con IA

Comparte

Una simple llamada telefónica de un atacante al área desoporte técnico de Clorox,la empresa fabricante de productos de limpieza,pudo hacer que le otorgaran claves de acceso para ejecutar un ciberataque a su sistema.

Por ello,Clorox demandó a su proveedor de soporte técnico,Cognizant,por un monto de 380 millones de dólares ante un tribunal en California.

De acuerdo con el documento de la demanda,Clorox argumenta negligencia por parte de la empresa de soporte técnico,pues esa simple llamada derivó en un ataque al que calificó como “catastrófico”.

La compañía aseguró que el error de Cognizant desencadenó una serie de interrupciones devastadoras en sus sistemas y operaciones.

La demanda de Clorox asevera que existen grabaciones como prueba de que el atacante simplemente realizó una solicitud de credenciales,las cuales le fueron otorgadas sin ningún tipo de autenticación.

“Cognizant no fue engañado por ninguna artimaña elaborada ni por técnicas de hackeo sofisticadas. El ciberdelincuente simplemente llamó al servicio de asistencia de Cognizant,pidió las credenciales para acceder a la red de Clorox,y Cognizant se las entregó sin más.

“Hay grabaciones en las que se escucha a Cognizant entregar las llaves de la red corporativa de Clorox al atacante,sin hacer ninguna pregunta de autenticación”,dice el documento de la demanda.

Incluso revela,en texto,lo que se dijo en la llamada:

– Cibercriminal: no tengo contraseña,por lo que no puedo conectarme.

– Agente de Cognizant: ah,vale,vale. Entonces,déjame darte la contraseña,¿vale?

– Cibercriminal: bien. Sí. Sí,¿cuál es la contraseña?

– Agente de Cognizant: un momento. Empieza con la palabra “Bienvenido”…

El mismo documento advierte que los procedimientos actualizados de Clorox para responder a las solicitudes de soporte de credenciales de red implicaban que,al recibir una solicitud de restablecimiento de contraseña de red de un empleado de Clorox,los agentes de servicio debían guiar al empleado hacia el uso de la herramienta de verificación y restablecimiento automático de contraseña de Clorox.

Además,era necesario que el agente de soporte técnico le solicitara al supuesto empleado de Clorox,que en este caso era un atacante,datos como nombre de gerente,ID o correos electrónicos de confirmación,para verificar la identidad,pero no se hizo así.

“El ciberdelincuente utilizó las credenciales comprometidas del Empleado 1 para iniciar sesión y recopilar información de la red de Clorox. Posteriormente,logró acceder a las credenciales del Empleado 2,que trabajaba en seguridad informática”,abunda el documento de demanda.