Atacantes podrían haber tenido acceso a los nombres de usuario, contraseñas e información personal de los clientes principales relacionados con la firma.

Una de las “grandes cuatro” firmas de contabilidad ha sido objetivo de un sofisticado ataque, el cual comprometió correos confidenciales y planes de algunos de sus clientes más importantes, reveló The Guardian.

Deloitte, que se encuentra registrado en Londres y tiene su sede mundial en Nueva York, fue víctima de un ataque de ciberseguridad que pasó desapercibido por meses.

Siendo una de las más grandes firmas de seguridad en los Estados Unidos, reportó un registro de $37 billones (£27.3 billones) de ingresos el año pasado, Deloitte provee servicios de auditoría, asesoramiento fiscal y ayuda en aspectos de ciberseguridad para algunos de los bancos más grandes a nivel mundial, compañías multinacionales, medios de comunicación, empresas farmacéuticas, y agencias de gobierno.

The Guardian reveló que los clientes de Deloitte se encuentran en distintas áreas y se tiene información de los mismos en el sistema de correos que fue vulnerado. Alguna de la información que contiene son las ubicaciones de las organizaciones, así como también departamentos de gobierno de los Estados Unidos.

Además seis clientes de Deloitte han dicho que su información se vio “afectada” por el ataque. La revisión interna realizada por Deloitte respecto al incidente continua en pie.

The Guardian destacó que Deloitte descubrió el ataque desde Marzo de este año, pero se cree que los atacantes pudieron haber tenido acceso a los sistemas desde octubre o noviembre del 2016.

El atacante comprometió el servidor de correo de la firma a través de “una cuenta de administrador” que, en teoría, le proporcionó privilegios y “acceso a todas las áreas” sin restricción.

La cuenta solamente solicitaba una contraseña y no tenía una autenticación en “dos pasos”, comentaron las fuentes.

Los correos enviados por y hacia los 244,000 empleados de Deloitte, se encuentran almacenados en el servicio en la nube Azure, que es proporcionado por Microsoft. Este servicio de Microsoft es similar al servicio Web de Amazon y la plataforma en la nube de Google.

Además de los correos, The Guardian reveló que los atacantes pueden tener acceso potencial a los nombres de usuario, contraseñas, direcciones IP, diagramas de arquitectura de los negocios e información relacionada a la salud. Algunos de los correos tenían archivos adjuntos con detalles de seguridad sensibles.

Se cree que la vulnerabilidad tiene como objetivo los Estados Unidos y la información obtenida se ha considerado tan sensible que solo fueron informados algunos de los socios más importantes de Deloitte y abogados

Se explicó a The Guardian que se realizó una investigación acerca de cómo sucedió el ataque, la cual fue llamada “Windham”. Esta investigación involucra especialistas que intentan descubrir exactamente dónde se encuentran los atacantes y analizar el recorrido electrónico de las búsquedas realizadas.

El equipo encargado de realizar la investigación sobre el atacante se encuentra trabajando fuera de las oficinas de la firma en Rosslyn, Virginia, donde se encuentran analizando documentos que pudieron haber sido comprometidos durante los últimos seis meses.

Aún no se sabe si el responsable fue un atacante que realizó la actividad de forma solitaria, un rival de negocio o un atacante contratado.

Las fuentes comentaron que, si el atacante no fue capaz de cubrir sus pasos, podría ser posible descubrir de dónde viene y cuáles fueron los archivos comprometidos, esto mediante la reconstrucción de las consultas. Sin embargo, este tipo de ingeniería inversa no ha sido probada.

Una de las medidas tomadas por Deloitte se realizó el 27 de abril cuando contrataron a la firma legal estadounidense Hogan Lovells en una “tarea especial” para revisar lo que ellos llaman “un posible incidente de ciberseguridad”.

La firma, que se encuentra en Washington fue contratada para proveer “apoyo legal y asistencia a Deloitte LLP, a las entidades centrales de Deloitte y otras entidades de Deloitte”, acerca de las consecuencias potenciales como resultado del ataque.

En respuesta a las preguntas realizadas por The Guardian, Deloitte confirmó que han sido víctima del ataque pero que solo un pequeño número de sus clientes ha sido “afectado”. No se tiene una cantidad de cuántos de sus clientes han sido afectados por esta vulnerabilidad.

Además, se comentó a The Guardian que un estimado de 5 mil correos estaban en la “nube” y los atacantes pudieron haber accedido a ellos. Deloitte dijo que el número de correos que estaban en riesgo era una fracción de los mismos, la cual no se puede estimar.

“Como respuesta del incidente, Deloitte implementó un protocolo de seguridad muy extenso y comenzó con una revisión intensiva incluyendo la movilización de un equipo de expertos en ciberseguridad y confidencialidad, dentro y fuera de Deloitte”, comentó el vocero.

Como parte de la revisión, Deloitte se ha puesto en contacto con algunos de sus clientes afectados y ha notificado al gobierno y entidades regulatorias.

La revisión nos ha permitido entender qué información se encuentra en riesgo y qué es lo que saben los atacantes en realidad y se ha demostrado que no ha ocurrido ninguna interrupción en los negocios de nuestros clientes, permitiendo a Deloitte continuar proporcionando servicio a los mismos.

“Seguimos profundamente comprometidos en garantizar que nuestro equipo de defensa de seguridad son los mejores en el campo, invirtiendo fuertemente en la protección de la información confidencial y que continuamente se hacen revisiones y mejoras a la ciberseguridad. Continuaremos evaluando este aspecto y tomaremos medidas adicionales en caso de ser necesario."

"Nuestra revisión nos permitió determinar qué es lo que el atacante hizo y qué información se encontró en riesgo. Del total es una pequeña fracción de la que se había considerado.”

Deloitte se negó a decir qué autoridades gubernamentales y regulatorias fueron informadas, cuándo fueron informadas y si se ha considerado el contactar con agencias legales.

A pesar de que todas las compañías son blancos para los atacantes, la vulnerabilidad afecta muy profundamente a Deloitte, quienes ofrecen a sus clientes apoyo en el manejo de riesgos de ciber ataques de seguridad muy sofisticados.

 “El riesgo cibernético es más que tecnología o un problema de seguridad, es un riesgo que debe ser considerado del negocio”, dijo Deloitte a sus clientes potenciales en su sitio web.

“Mientras la innovación proporciona ventajas estratégicas, también expone en el negocio un riesgo potencial de ciberataque. Se deben adoptar mejores prácticas en los comportamientos cibernéticos para ayudar a nuestros clientes a disminuir el impacto en sus negocios”.

Deloitte tiene un “Centro de Ciberinteligencia” que provee a sus clientes “un servicio de 24 horas al día enfocado en la seguridad operacional del negocio”.

“Monitoreamos y clasificamos las amenazas de forma específica en tu organización, permitiéndote mitigar de forma sencilla y efectiva el riesgo y fortaleciendo tu resistencia cibernética”, dice su sitio web. “A través de conocimientos técnicos, nuestros profesionales están capacitados para contextualizar las amenazas más relevantes, ayudando a determinar el riesgo dentro tu negocio, tus clientes y los interesados en el mismo.”

En 2012, Deloitte, el cual tiene oficinas alrededor del mundo, se encontró como primer lugar a nivel mundial como mejor consultor de seguridad.

Más temprano este mes, Equifax, la agencia de monitoreo de crédito de los Estados Unidos admitió que la información personal de 143 millones de clientes había sido robada en un ataque masivo en mayo. También reveló que fueron víctimas de un ataque el pasado marzo.

Cerca de 400,000 personas en el Reino Unido pudieron haber sufrido el robo de su información de acuerdo con esta brecha de seguridad. La compañía de Estados Unidos dijo que la investigación había revelado un archivo que contenía la información de los clientes del Reino Unido, la cual “podía haber sido descubierta”.

La información contenía nombres, fechas de nacimiento, direcciones de correo electrónico y números telefónicos, pero que estas no contenían direcciones postales, contraseñas o información financiera. Equifax, basado Atlanta, descubrió el ataque en Julio pero le informó a sus clientes la semana pasada.

Articulos relacionados:

• Antispyware: protegiéndote de los espías
• Concientizar para prevenir
• Navegando al día