La Oficina del Comisionado de Información (ICO) del Reino Unido multó a Capita, proveedor de servicios de procesos empresariales basados en datos, con $18.7 millones de dólares (mdd) aproximadamente por una filtración de datos ocurrida en 2023 que expuso la información personal de 6.6 millones de personas.
El comisionado John Edwards declaró en un comunicado que “la magnitud de esta filtración y su impacto podrían haberse evitado si se hubieran implementado suficientes medidas de seguridad”.
Capita es una empresa británica subcontratista de consultoría, transformación y servicios digitales que atiende a ayuntamientos, el NHS, el Ministerio de Defensa y organizaciones de los sectores bancarios, de servicios públicos y de telecomunicaciones.
Con alrededor de 34,000 empleados y unos ingresos anuales de más de $4,000 millones de dólares, la mayoría de sus clientes se encuentran en el Reino Unido y Europa.
Cuando una empresa del tamaño de Capita incumple las normas, afirmó Edwards, “las consecuencias pueden ser significativas”.
Índice de temas
Cientos de proveedores de planes de jubilación afectados
La ICO había fijado inicialmente la multa en una cantidad mucho mayor ($60 millones de dólares), pero decidió reducir la sanción después de que la empresa aceptara su responsabilidad, implementara importantes mejoras de seguridad y ofreciera servicios de protección de datos a las personas expuestas.
La autoridad de protección de datos multó a Capita con casi $11 millones de dólares y Capita Pension Solutions Limited recibió una sanción de $8 mdd.
La investigación de la ICO confirmó que los datos robados afectaron a 6.6 millones de personas y a cientos de clientes de Capita, incluyendo 325 proveedores de planes de pensiones en el Reino Unido.
En abril de 2023, la compañía anunció que había sido blanco de hackers que intentaron acceder a su entorno interno de Microsoft 365, obligando a desconectar algunos sistemas como parte de su respuesta.
Una actualización tres semanas después confirmó que los hackers habían accedido al 4% de la infraestructura informática interna de Capita y exfiltrado archivos privados alojados en los sistemas vulnerados.
El grupo de ransomware Black Basta se atribuyó el ataque y amenazó con filtrar todos los archivos robados a menos que la compañía pagara un rescate.
Hackers tuvieron acceso durante 58 horas
El ciberataque ocurrió el 22 de marzo de 2023, cuando un empleado de Capita descargó un archivo malicioso que permitió a los hackers acceder a la red interna de la compañía.
La ICO comentó que, aunque la brecha se detectó en 10 minutos, Capita no logró aislar el dispositivo infectado durante 58 horas más, lo que dio a los atacantes tiempo suficiente para moverse lateralmente, propagarse por la red y acceder a bases de datos confidenciales.
Este archivo, apuntó, permitió la implementación de software malicioso en la red de Capita, lo que permitió al hacker permanecer en el sistema, permisos de administrador y acceder a otras áreas de la red.
La autoridad de protección de datos del Reino Unido señaló que entre el 29 y el 30 de marzo de 2023 se exfiltró casi un terabyte de datos. El 31 de marzo de 2023, se implementó ransomware en los sistemas de Capita y el hacker restableció todas las contraseñas de los usuarios, impidiendo que el personal de Capita accediera a sus sistemas y red“, declara la autoridad de protección de datos del Reino Unido.
Capita fue multada por controles de acceso deficientes (ausencia de un modelo de cuentas de administrador por niveles), respuesta tardía a las alertas de seguridad, gestión de un Centro de Operaciones de Seguridad con personal insuficiente y falta de realización de pruebas de penetración y ejercicios de gestión de riesgos con regularidad.
El CEO de Capita, Adolfo Hernández, anunció el acuerdo con la ICO, destacando el esfuerzo y la inversión realizada para fortalecer la estrategia de ciberseguridad de la empresa desde el incidente.
El ejecutivo también señaló que no prevén que el pago de la multa afecte las previsiones para inversores publicadas previamente.
