Caso de éxito 001_

Asunto

Una compañía multinacional del sector de Retail tenía sospechas de que podía estar sufriendo el robo de datos relacionados con medios de pago (ej. tarjetas de crédito) de sus clientes. Se contrató un servicio de hacking ético y análisis forense para identificar posibles brechas en la seguridad interna de la compañía.

Acciones

• Análisis forense del ordenador

Se analizaron en laboratorio los principales modelos de dispositivo de pago (datáfonos) y TPVs empleados. Pese a tratarse de dispositivos seguros, descubrimos que algunos modelos presentaban fallos de seguridad que permitían la extracción de información sensible. Dicha información, se estaba almacenando en varios servidores de backup de la compañía, junto con otros registros de actividad y sin que el departamento de TI fuera consciente de ello. Finalmente, un diagnóstico de seguridad de los servidores implicados mostró la existencia de varios fallos de seguridad que permitían el acceso a la información.

• Análisis forense de la red

Se llevó a cabo un estudio de la arquitectura de red del cliente y un diagnóstico de seguridad de sus elementos. Pese a que la red estaba bien segmentada, se detectaron varios fallos que permitían acceder a la información desde cualquiera de las tiendas del grupo.

Resultados

• Se demostró la posibilidad de acceder de manera ilegal a las tarjetas de cientos de miles de clientes desde cualquier tienda del grupo.
• Se identificaron varios elementos de pago con fallos graves de seguridad.
• Se detectaron fallos de seguridad en el nivel de bastionado de los servidores y TPVs.
• Se identificaron varios fallos de configuración en la arquitectura de red.
• Se demostró la posibilidad de establecer un acceso persistente desde Internet sin que éste sea detectado.

Acciones de Remediación

Se dieron las recomendaciones necesarias para eliminar las brechas de seguridad detectadas y mejorar su seguridad global.