ADP, una importante empresa mundial dedicada al procesamiento de nóminas, dio a conocer recientemente una brecha que expuso la información fiscal de algunos de sus clientes al fraude fiscal y al robo de identidad. La compañía de Paterson, Nueva Jersey, que ha estado en el mercado durante 60 años, descubrió el acceso no autorizado a dicha información después de que varios clientes de su base de datos denunciaron ante las autoridades que fueron víctimas de transacciones fraudulentas realizadas a través del portal de autoservicio de ADP.
ADP es una empresa que provee servicios de administración de nóminas, impuestos y beneficios a más de 640,000 compañías de todo el mundo. La compañía se describe como un pionero “en definir el futuro de las soluciones de outsourcing de negocios”. ADP hace esto al utilizar sus soluciones de Gestión del Capital Humano (HCM) basadas en la nube junto con sus “servicios de outsourcing de negocios, analítica y experiencia en el cumplimiento”.
En un artículo, Brian Krebs, periodistas especializado en seguridad cibernético, señaló que por lo menos una institución, U.S. Bancorp (U.S. Bank), fue afectado directamente por la brecha. Este banco, uno de los de mayor tamaño de Estados Unidos, fue debidamente notificado que una parte de sus empleados fue afectada por el robo de datos de los formularios W-2, apuntando a una “debilidad en el portal para clientes de ADP”. Sin embargo, Krebs señala que los empleados afectados podrían ser muchos más.
A través de un comunicado, Dana Ripley, la vocera de U.S. Bancorp, informó que la vulnerabilidad ya se ha solucionado. A través de una carta firmado por la vicepresidente ejecutiva de recursos humanos del banco, Jennie Carlson, quien se refirió a lo que se describió como una “pequeña población” de la fuerza laboral de la compañía, se informó que el incidente de seguridad se está investigando con el proveedor de los formularios W-2 de la institución, ADP, desde el 20 de abril de 2016. Así, “Durante el curso de esa investigación hemos sabido que un portal W-2 externo, que administra ADP, pudo haber sido utilizado por personas no autorizadas para tener acceso a su formulario W-2, el cual pudo haber utilizado para presentar una devolución de impuestos fraudulentas a su nombre”.
La carta dirigida a las partes afectadas decía, “el incidente se originó porque ADP ofreció un portal en línea externo que fue víctima de un ataque. Para las personas que nunca habían utilizado el portal, nunca se realizó el registro. Sin embargo, los criminales pudieron aprovechar esa situación para usar información personal confidencial de otras fuentes para establecer un registro a su nombre en ADP. Una vez que se estableció el registro fraudulento, pudieron ver o descargar su formulario W-2”.
Por otro lado, ADP señaló que ciertas compañías publicaron sus códigos de registro corporativos en un sitio inseguro. Los criminales cibernéticos utilizaron la información disponible y los utilizaron para crear cuentas de ADP falsas. Para registrarse en el portal, un criminal cibernético con intenciones maliciosas necesita información personal identificable como nombres, fechas de nacimiento y números de seguridad social. Dichos datos, de acuerdo con ADP, no fueron tomados de sus sistemas, sino que ya debían haber estado en manos de los ladrones.
Por su parte, Dick Wolfe, director de comunicaciones corporativas de ADP, señaló, “Estos clientes pusieron el código único de registro de la compañía a disposición de sus empleados a través de un sitio público inseguro. La combinación de un código inseguro de registro de la compañía y la información personal robada (a través de phishing, malware, etc.) permitió el acceso fraudulento al portal, de acuerdo con la investigación de ADP realizada a la fecha”.
En tanto, Ripley de U.S. Bank admitió que el banco hizo accesible el código de la compañía a través de la publicación de un enlace a un recurso en línea para los empleados. Esto lo hizo sin saber que dicho código era información privilegiada. Riplay aseguró, “Vimos al código como un código de identificación, no como un código de autenticación, y lo publicamos en un sitio web para conveniencia de nuestros empleados, de modo que pudieran tener acceso a su información W-2”. Actualmente, la institución financiera dice que el código de la compañía se ha eliminado y que han suspendido su uso.
Al momento de redactar este blog, ADP reportó que la compañía había implementado un medio para monitorear la Web para identificar a algún otro cliente que hubiera compartido sus enlaces para iniciar sesión y los códigos de la compañía únicos. En un comunicado, Roland Cloutier, director de seguridad, aseguró al resto de su base de clientes que, “Ahora hemos implementado agresivamente la inteligencia de seguridad para tratar de buscar ese código y desactivar el acceso al registro de autoservicio si lo encontramos”.
Esta brecha se dio poco después de que otra compañía reportara que los datos de sus clientes habían sido extraídos de su base de datos mediante otro proveedor que fue utilizado como una puerta de entrada. LuckyPet, una tienda para mascotas establecida en Seattle, denunció una brecha ante la Procuraduría General del Estado de California que afectó a un número aún desconocido de víctimas cuyos nombres, direcciones e información de tarjetas de crédito habían sido robados a través de una vulnerabilidad presente en el software de carrito de compras de un tercero. Mediante la inserción de un código malicioso al software, los hackers lograron tener acceso a la información proporcionada por los clientes que hacían compras.
Seguridad de terceros
Cuando Uber fue objeto de investigaciones por una posible brecha que llevó a la venta de cuentas de usuarios robadas en el mercado clandestino criminal, oficiales de la compañía aseguraron a sus usuarios que la información de sus tarjetas de crédito estaba a salvo, ya que los datos fueron almacenados por un proveedor de servicios externo. Las dos compañías que fueron atacadas recientemente no tuvieron la misma suerte. De hecho, esta no es la primera vez que proveedores externos se utilizaban como un canal para realizar un ataque. En el pasado, se decía que para asegurar a una empresa se requería de un enfoque más holístico en términos de mantener al mínimo las brechas de seguridad. Hoy, los expertos han identificado la importancia de mantener intacta la seguridad de las cadenas de suministro de TI y de los contratistas ya que éstas representan los puntos potencialmente débiles de la seguridad dentro de cualquier organización.
La brecha de ADP que se reportó recientemente demuestra las graves repercusiones de perder los datos de los formularios W-2 y que vayan a parar a las manos de los criminales cibernéticos. Los ladrones han sido conocidos por hurtar datos de estos formularios pues en ellos se encuentra información personal irremplazable que puede venderse en el mercado clandestino o utilizarse para cometer más delitos, particularmente el robo de identidad y el fraude financiero.
En febrero pasado, meses antes de que se acercara la temporada para hacer las declaraciones de impuestos de este año, la autoridad fiscal de Estados Unidos (IRS) emitió una alerta sobre un aumento del 400% de los fraudes que tenían como blanco a la información fiscal. De acuerdo con el FBI, de octubre de 2013 a febrero de 2016, los esquemas que utilizaron diferentes técnicas para robar información lograron engañar a más de 17,600 víctimas, lo que ascendió a $2,300 millones de dólares en pérdidas.
Las acciones de ADP cayeron casi 0.7% después de que se diera a conocer la brecha, mientras que las de su cliente y la parte afectada cayeron 1.3%. En una declaración posterior, oficiales de ADP dijeron que, “ADP no tiene evidencia de que sus sistemas que albergaban la información de los empleados hayan sido comprometidos. Además, la compañía está trabajando con un grupo de trabajo de las fuerzas federales para identificar a los defraudadores”.
Leave a Reply