El retail es el sector de la economía mejor provisto para repeler agresiones digitales. Sin embargo, la cadena de supermercados Target, el gigante mundial del retail que atiende a uno de cada tres estadounidenses, fue víctima en 2013 de un ataque cibernético devastador que sirve para corroborar la relevancia estratégica de un tema que los boards suelen evadir. Esta defección no responde a un menosprecio corporativo del peligro que revisten estas agresiones, sino a la ignorancia en cómo abordarlos. Veamos.
Al momento del ataque, el equipo de seguridad informática de Target tenía un contingente de 300 profesionales, número tres veces superior al de 2006. Este equipo pudo detectar el ataque y prevenir sus efectos -el elemento de infiltración que usaron los hackers era tecnológicamente básico y fácil de neutralizar (malware, malicious software)-, pero su pasividad hizo posible el éxito de los cibercriminales.
¿Qué ocurrió? En los días previos a la fiesta de Thanksgiving (noviembre 2013), alguien instaló el malware en el sistema de seguridad y pagos de Target, con el propósito de plagiar tarjetas de crédito usadas por sus clientes en sus 1.797 locales a lo largo de Estados Unidos. Cuando el usuario deslizaba su tarjeta para pagar en la caja, el malware se activaba de inmediato, capturando el número de la tarjeta y almacenándolo en un servidor de Target que era controlado por los hackers.
Seis meses antes, Target ya disponía de una tecnología de punta para detectar intrusos, la misma que usaba el Pentágono, el FBI y la CIA para prevenir ataques a la seguridad interna y externa del país. El sistema alertó oportuna y adecuadamente el problema, pero los técnicos de Target no activaron el protocolo o, simplemente, lo ignoraron.
La embestida criminal permitió a los hackers clonar 40 millones de tarjetas y sustraer 70 millones de direcciones, claves secretas, números de teléfono y otros datos personales. A los pocos días, Target enfrentaba una centena de demandas judiciales interpuestas por clientes, bancos e instituciones financieras que reclamaban compensaciones millonarias por daños y perjuicios originados en la negligencia culpable de la compañía. A fines de 2013, las utilidades de Target cayeron casi a la mitad (46%) con respecto a igual trimestre del año anterior.
El caso Target reúne todos los condimentos de un cyber thriller que, en manos de un buen escritor, tendría gran éxito editorial y cinematográfico: conspiración, intriga, espionaje, contrainteligencia y suspenso, todo envuelto en una trama narrativa que va hilando un cúmulo de argumentos, errores, simulaciones y complicidades de sus protagonistas.
El episodio también demuestra que la seguridad cibernética no puede ser un reducto privativo de técnicos especialistas en la materia, sino una responsabilidad que el board debe asumir como prioridad estratégica, con urgencia y sin dilaciones. El cometido implica asimilar una serie de factores tecnológicos y humanos sobre los cuales indagaré próximamente.
Como muchas crisis, la de Target ofrece una oportunidad y alienta un desafío: corregir insuficiencias y malas prácticas, técnicas y corporativas, que pueden destruir en un segundo la reputación y solvencia de una gran empresa con medio siglo de trayectoria.