Una simple llamada al help desk fue suficiente para derribar las defensas de una multinacional. La negligencia atribuida a Cognizant plantea serias dudas sobre la seguridad en la cadena de proveedores.
Una llamada telefónica sin autenticación. Ese fue, presuntamente, el punto de entrada para que un grupo de ciberdelincuentes accediera a los sistemas internos de Clorox, afectando su producción y distribución durante semanas. El incidente, atribuido al grupo de amenazas avanzadas Scattered Spider, ha desembocado en una demanda multimillonaria de la compañía contra su proveedor de soporte técnico, Cognizant.
La cifra reclamada: 380 millones de dólares, unos 352 millones de euros al cambio actual. El motivo: un ciberataque que, lejos de requerir técnicas sofisticadas o malware avanzado, se ejecutó apelando a uno de los eslabones más débiles de cualquier sistema de seguridad: el factor humano.
Una brecha crítica en la primera línea de defensa
Según la demanda presentada en un tribunal de California, los atacantes se hicieron pasar por empleados legítimos de Clorox y contactaron telefónicamente al servicio de asistencia gestionado por Cognizant. Sin realizar verificaciones básicas como identificación del solicitante, nombre del gerente o confirmación por correo interno, el agente de soporte restableció las credenciales de acceso. Y lo que siguió fue un desastre de proporciones industriales.
Los intrusos accedieron a credenciales sensibles de varios empleados, incluido uno vinculado al área de seguridad informática, logrando así infiltrarse en sistemas críticos de la compañía. El impacto fue directo: interrupción en la cadena de suministro, desabastecimiento en tiendas, pérdidas millonarias en remediación y daños reputacionales.
Conversaciones grabadas: el fallo en tiempo real
El contenido de la demanda incluye transcripciones de la llamada en la que el atacante, con argumentos básicos, logra obtener una contraseña sin apenas resistencia por parte del operador:
— Cibercriminal: No tengo contraseña, por lo que no puedo conectarme.
— Agente de soporte: Ah, vale, vale. Entonces, déjame darte la contraseña, ¿vale?
Según Clorox, los protocolos exigían que cualquier solicitud de restablecimiento pasara por herramientas automáticas de verificación o, al menos, por comprobaciones manuales. Nada de eso se cumplió.
Un caso paradigmático de negligencia en la cadena digital
La demanda, que califica el incidente de “catastrófico”, pone el foco en un aspecto clave de la ciberseguridad moderna: la externalización de funciones críticas sin auditorías continuas ni formación adecuada. El error de Cognizant —de confirmarse judicialmente— no solo representa un fallo técnico, sino un fallo de cultura organizativa.
Se estima que al menos 50 millones de dólares se destinaron a medidas de remediación directa, sin contar las pérdidas operativas y la erosión de la confianza de los consumidores.
Lecciones urgentes para las empresas
Este episodio no solo afecta a Clorox y Cognizant. Expone una amenaza que se cierne sobre miles de empresas en todo el mundo: la ciberseguridad mal entendida como cuestión puramente tecnológica, cuando en realidad depende también de procesos, formación y sentido común.
Cuatro preguntas clave que toda organización debería hacerse tras este caso:
- ¿Están los operadores de soporte entrenados y auditados regularmente?
- ¿Qué nivel de confianza se deposita en llamadas telefónicas?
- ¿Qué acceso tienen los proveedores a nuestra infraestructura crítica?
- ¿Cuántas llaves hemos entregado sin saberlo… y a quién?
En un entorno de creciente sofisticación en los ataques, una simple llamada no debería ser suficiente para comprometer a una compañía entera. Sin embargo, lo ha sido. Y eso nos interpela a todos.
Nota editorial: La ciberseguridad no comienza en el firewall, sino en cada interacción, cada procedimiento y cada persona con capacidad para tomar decisiones. La cadena es tan fuerte como su eslabón más débil. En este caso, la voz al otro lado del teléfono.
