Target ignoró alertas sobre violación de datos de tarjetas, según medios

jueves 13 de marzo de 2014 18:05 CET
 

WASHINGTON, 13 mar (Reuters) - Un equipo de expertos en seguridad de Target con una herramienta para detectar 'software' malicioso creada por FireEye alertó a los trabajadores de la compañía sobre una posible violación de datos el 30 de noviembre, pero no consiguió responder adecuadamente a las señales de alerta, según una información publicada en medios el jueves.

Los especialistas en seguridad de Bangalore, India, que vigilan los registros de los ordenadores encontraron alertas de FireEye del 30 de noviembre y se lo notificaron a empleados de Target en Mineápolis, informó Bloomberg Businessweek. También encontraron más alertas el 2 de diciembre, cuando apareció más 'software' malicioso.

Estos avisos, si se les hubiera prestado atención, podrían haber frenado la violación de datos que afectó a millones de clientes que compraron entre el 27 de noviembre y el 18 de diciembre - en plena campaña de ventas de Navidad - en la tercera minorista más grande de Estados Unidos.

Unos 40 millones de historiales tarjetas de crédito y débito fueron robados a la minorista, junto con otros 70 millones de historiales con información de clientes como sus direcciones o sus números de teléfono.

El Congreso está investigando la violación junto con los fallos que se produjeron en otros minoristas, y las compañías de tarjetas de crédito están presionando para que se mejore la seguridad.

Bloomberg, citando a una fuente que ha sido consultada en la investigación de Target, dijo que unos piratas informáticos desplegaron un código hecho a medida el 30 de noviembre que desató la alerta de FireEye de 'malware', que incluía detalles sobre los servidores donde los datos robados iban a ser depositados.

La función automática del sistema de seguridad para borrar este software había sido apagada por el equipo de seguridad de Target, dijo la información, citando a dos personas que auditaron la actuación de FireEye después de la violación.

Gregg Steinhafel, consejero delegado de Target, dijo en una declaración a Bloomberg que la minorista todavía estaba revisando a su "gente, procesos y tecnología" después de la violación.

"Al no haber completado la investigación, no creemos que sea constructivo hacer especulaciones sin el beneficio de un análisis final", escribió Steinhafel, según la información.

Añadió que la compañía ya había "dado pasos significativos". Target dijo a principios de este mes que estaba revisando sus prácticas de seguridad de la información.

Representantes de Target y FireEye no pudieron ser inmediatamente contactados para comentarios sobre la información. (Información de Susan Heavey en Washington y Jim Finkle en Boston; Traducido por María Vega Paúl en la redacción de Madrid)