The Home Depot divulgó hallazgos adicionales relacionados con la violación de sus sistemas de datos de pago como resultado de su investigación en colaboración con las autoridades responsables de hacer cumplir la ley y los expertos en seguridad informática que operan como terceros contratados por la empresa.
¿Cómo se dieron los hechos? Los delincuentes usaron el nombre de un tercero como vendedor y una contraseña para ingresar al perímetro de la red de Home Depot; estas credenciales robadas no proporcionaron por sí solas el acceso directo a los dispositivos de punto de venta de la empresa. Después, los hackers adquirieron derechos superiores que les permitieron navegar porciones de la red de Home Depot y desplegar un malware único y personalizado en los sistemas de pago automático en EE.UU. y Canadá.
Además de los datos de tarjetas de pago, durante la violación de seguridad se robaron archivos por separado con aproximadamente 53 millones de direcciones de correo electrónico. Estos archivos no contenían contraseñas, información de tarjetas de pago ni otros datos personales confidenciales. La empresa está notificando a los clientes afectados en EE.UU. y Canadá.
Como ya se había hecho público, no se había visto el malware empleado en otros ataques y este fue diseñado para evadir la detección por el software antivirus; así lo afirman los socios de seguridad de Home Depot. Tal como la empresa lo anunciara el 18 de septiembre, el método de los hackers para entrar ha sido bloqueado y el malware ya fue eliminado de los sistemas de la empresa.
The Home Depot sigue ofreciendo servicios de protección de identidad gratuitos, incluido monitoreo del crédito, a todo cliente que haya usado una tarjeta de pago en una tienda Home Depot en 2014, desde abril en adelante.
Refuerza su seguridad
Home Depot ha puesto en marcha el cifrado mejorado de datos de pagos en todas las tiendas de EE.UU. La nueva protección de seguridad bloquea los datos de la tarjeta con que se realiza el pago, toma la información de la tarjeta sin procesar y la mezcla para hacerla ilegible y prácticamente inservible para los hackers. La tecnología de cifrado de Home Depot, suministrada por Voltage Security, Inc., ha sido sometida a pruebas y validada por dos empresas independientes de seguridad informática.
Aunque el proyecto de cifrado se lanzó inicialmente en enero de 2014 como parte de un plan estratégico para ampliar la seguridad más allá de las protecciones vigentes en aquel entonces, la ejecución del proyecto se aceleró después de la violación de seguridad y se completó en todas las tiendas de EE. UU. el sábado 13 de septiembre de 2014. El despliegue para las tiendas canadienses estará terminado a principios de 2015.
La empresa está desplegando la tecnología EMV chip-and-PIN, la cual agrega escudos extra de protección a las tarjetas de pago de los clientes.
