El pasado 25 de septiembre de 2017 Deloitte reveló que la brecha sufrida ocurrió porque no utilizaban autenticación de 2 factores para la cuenta de administración de su servidor Email Exchange. Protegían la cuenta solamente con un factor de autenticación, es decir nada más que una contraseña.

Según el periódico The Guardian de Londres, la brecha ocurrió en Londres durante una migración de Exchange On-premise a Microsoft Office 365 en la nube en el otoño del año pasado y fue descubierto en la primavera de este año y Deloitte esperó hasta este otoño para hacer pública la violación.

Pero los fallos no acaban con el simple hecho de que no tenían la cuenta de administración de Exchange protegida con 2 factores de autenticación.

Se deben analizar muchos otros posibles fallos:

  • ¿Qué falló en su sistema de gestión de identidades, si lo tenían?
  • ¿Qué falló en su sistema de gestión de las cuentas privilegiadas / administración, si lo tenían?
  • ¿Qué falló en sus sistemas de auditoría?
  • ¿Qué falló en sus sistemas de control para detectar comportamientos anómalos y cambios indebidos?
  • ¿Tenían los Emails cifrados?
  • ¿Tenían información sensible, que el Hacker hubiera podido acceder?  ¿Estaba en claro o cifrada?
  • ¿Cómo sabe Deloitte quién es el Hacker?  Un empleado, un subcontratado, un gobierno, etc…
  • ¿Cómo sabe Deloite qué hizo el Hacker después de llegar a controlar su Exchange?
  • ¿Cómo sabe Deloitte si el Hacker ha cubierto sus huellas de tal manera que no se sabe qué más controla?

La empresa debe analizar miles y miles de Emails para descubrir Emails de reseteo de contraseñas, peticiones de elevación de privilegios en cuentas de administración de todo tipo de servidores, peticiones a información sensible, etc…. Y lo más preocupante  ¿siguen siendo sus sistemas vulnerados al haberse descontrolado muchos procesos del negocio?  Ha de asumir que el Hacker habrá borrado su rastro de tal manera que no se sabe qué más está controlando. La envergadura de esta brecha es infinita en una empresa del tamaño de Deloitte.

Los clientes de Deloitte ya han empezado a demandar a través de los tribunales los daños causados por filtraciones y potenciales filtraciones de información sensible.  Seguramente Deloitte llegará a acuerdos de liquidación antes de presenciarse ante los jueces.  ¿Cuál será el coste?

Todos los clientes de Deloitte deben examinar todos los Emails intercambiados con Deloitte para ver cómo han sido afectados. ¿Quién va a pagar por las investigaciones?  Y los clientes de sus clientes también deben examinar sus emails y así sucesivamente. Las repercusiones de esta brecha son interminables.

A la hora de investigar lo que ocurrió curiosamente Deloitte contrató a una empresa externa. ¿Empleaba Deloitte su propio servicio de ciber-riesgos? Dicho servicio nombrado por Gartner como el nº 1 en el mundo desde 2012 a 2016.

El daño reputacional a Deloitte es incalculable. ¿Va a perder Deloitte clientes? Si esta incidencia hubiera ocurrido después del 25 de mayo de 2018, a todos los costes habría de añadir una posible multa de hasta € 1.275 mil millones, 4% de sus ingresos mundiales, tal y como lo exige el reglamento europeo de protección de datos (RGPD o GDPR por sus siglas en inglés).

Deloitte asegura que la incidencia está resulta y sabe exactamente qué ha ocurrido, pero hay muchos que lo discuten. Lee el artículo en The Guardian para ver los argumentos en contra de que Deloitte tiene todo controlado.

Sobre Dot Force

Dot Force es una empresa de ciberseguridad con soluciones de gestión de identidades y cuentas privilegiadas, sistemas de autenticación de dos factores, herramientas de auditoría y control de sistemas informáticos y de detección de vulnerabilidades en redes y aplicaciones Web y soluciones de cifrado y protección de Endpoints.