Clorox interpuso una demanda contra Cognizant por negligencia grave, alegando que facilitó un ciberataque masivo en agosto de 2023 y reclama una indemnización de $49 millones de dólares (mdd) por daños directos y $380 mdd por daños totales.
La demanda sostiene que la compañía global de servicios y consultoría IT, que ofrece soluciones en la nube, desarrollo de software y ciberseguridad, restableció la contraseña de un empleado para un ciberdelincuente sin verificar previamente su identidad, lo que desencadenó el incidente.
Clorox es una empresa especializada en bienes de consumo, reconocida por sus productos de limpieza para el hogar, lejía, desinfectantes y artículos de cuidado personal.
El ciberataque se hizo público en septiembre de 2023 y, presuntamente, fue perpetrado por hackers asociados con el grupo Scattered Spider. Estos atacantes son conocidos por emplear ataques de ingeniería social para vulnerar la seguridad empresarial.
La demanda afirma que Cognizant brindaba servicios IT, incluyendo soporte técnico y gestión de identidades, lo que derivó en un ciberataque devastador y altamente costoso para la compañía.
Índice de temas
Clorox tenía sistema deficiente: Cognizant
Un portavoz de Cognizant respondió a la acusación: “Es impactante que una corporación del tamaño de Clorox tuviera un sistema interno de ciberseguridad tan deficiente para mitigar este ataque”.
En un mensaje enviado al sitio BleepingComputer, añadió que “ha intentado culparnos de estos fallos, pero la realidad es que Clorox contrató a Cognizant para un alcance limitado de servicios de soporte técnico, que Cognizant prestó razonablemente”.
El vocero afirmó que la compañía no gestionó la ciberseguridad de Clorox.
Una relación de 10 años
Según la demanda, Cognizant fue contratada por Clorox desde 2013 hasta 2023 para gestionar sus operaciones IT.
“Cognizant operaba el centro de asistencia (‘Service Desk‘) al que los empleados de Clorox podían contactar cuando necesitaban ayuda para recuperar o restablecer contraseñas”, se lee en la denuncia, que dio a conocer el sitio informativo.
“El funcionamiento del Service Desk por parte de Cognizant se basaba en un requisito simple y lógico: nunca restablecer las credenciales de nadie sin autenticarlas correctamente primero. Clorox facilitó esto a Cognizant al proporcionarles procedimientos sencillos para cada asistencia con la recuperación o el restablecimiento de credenciales”.
La versión de Clorox
La denuncia alega que el 11 de agosto de 2023, grabaciones demuestran que un ciberdelincuente llamó repetidamente al Service Desk de Cognizant, haciéndose pasar por un representante de Clorox para solicitar el restablecimiento de contraseñas y la autenticación multifactor (MFA, por sus siglas en inglés).
En ningún momento de las llamadas, el agente verificó la identidad del empleado. La demanda especifica que no se siguieron los procedimientos de soporte de credenciales de Clorox —ni los previos a 2023 ni la actualización de enero de 2023— antes de cambiar la contraseña del ciberdelincuente.
Además, se restablecieron las credenciales de MFA del empleado varias veces sin verificación de identidad alguna.
Clorox afirma que tampoco se enviaron los correos electrónicos requeridos al empleado ni a su gerente para notificarles el restablecimiento de la contraseña.
Este tipo de ataque de ingeniería social se ha convertido en el sello distintivo de los ataques Scattered Spider, utilizados recientemente en incidentes contra minoristas del Reino Unido como Marks & Spencer y Co-op.
Tras supuestamente no verificar la identidad real del atacante, Cognizant restableció las credenciales y la MFA del hacker, permitiéndole acceder a la red informática de Clorox.
Para agravar la situación, Clorox alega que los actores de la amenaza utilizaron la misma estrategia para restablecer la contraseña y la MFA de otro empleado del área de seguridad informática, nuevamente sin verificación.
Esto, según los informes, les otorgó a los atacantes acceso privilegiado a la red, que utilizaron para propagarse a otros dispositivos.
“Un ciberataque devastador”
La compañía señala que las acciones de Cognizant paralizaron su red corporativa, detuvieron la producción y provocaron una escasez generalizada de productos e interrupciones de negocio.
Todo ello resultó en cientos de millones de dólares en pérdidas de ventas debido a la interrupción del negocio, así como daños a la reputación con consecuencias a largo plazo.
“El ciberataque resultante fue devastador. Paralizó la red corporativa de Clorox y las operaciones comerciales“, detalla la demanda legal.
La querella alega incumplimiento de contrato debido a la falta de Cognizant de sus obligaciones, incumplimiento de buena fe y trato justo, negligencia grave y tergiversación intencional de la capacitación del personal sobre los procedimientos de restablecimiento de credenciales del cliente.
Y para colmo, cuando Clorox recurrió a Cognizant para servicios de respuesta a incidentes y recuperación ante desastres, el proveedor falló en su respuesta y agravó el daño que ya había causado.
La compañía calificó la respuesta y el soporte de recuperación como excesivamente incompetentes, lo que resultó en retrasos en la aplicación de medidas de contención, la falta de cierre de las cuentas comprometidas y el envío de personal no cualificado a las instalaciones.
