Fuente: SearchSecurity.com

TJX Companies, Inc., que ha sido sometido a un aluvión de demandas judiciales como consecuencia de una violación masiva de los datos de sus sistemas, acordó pagar US$9.75 millones, solucionando una demanda presentada por los Procuradores Generales de 41 estados.

La empresa matriz de las tiendas T.J. Maxx y Marshall, publicó en enero de 2007 que sus sistemas habían sido hackeados, exponiendo por lo menos 45.7 millones de tarjetas de crédito y débito a un posible fraude. Bajo los términos del acuerdo, la compañía pagará $2.5 millones de dólares para crear un fondo de seguridad de datos para los estados y una suma de $5.5 y $1.75 millones de dólares para cubrir los gastos relacionados con las investigaciones del estado.

Además, TJX dijo que acordó certificar que el sistema informático de TJX cumple con requisitos detallados de seguridad de datos especificados por los Estados Unidos, y fomentan el desarrollo de nuevas tecnologías para hacer frente a vulnerabilidades sistémicas en el sistema de tarjetas de pago de EEUU.

“En virtud de este acuerdo, TJX y los Procuradores Generales se han puesto de acuerdo para asumir papeles de liderazgo en la exploración de nuevas tecnologías y enfoques para buscarle solución a los problemas sistémicos de la industria de tarjetas de pago de los EEUU que continúan afectando a empresas e instituciones, y que hacen de los consumidores en los Estados Unidos en todo el mundo los objetivos para el aumento de la delincuencia cibernética”, dijo en un comunicado Jeffrey Naylor, director financiero y administrativo de TJX.

Naylor reiteró la postura de TJX a lo largo del incidente que la empresa no violó ninguna ley de protección al consumidor o de seguridad de datos. “La decisión de entrar en este acuerdo refleja el deseo de TJX de concentrarse en su negocio principal, sin distracciones, y de promover medidas de ciber-seguridad que beneficiarán a todos los consumidores”, dijo la compañía.

Según los investigadores, a lo largo de un período de 18 meses, hackers se aprovecharon de un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada de un programa sniffer para vigilar y capturar los datos transaccionales de TJX. Investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad anticuado. El Wi-Fi Protected Access (WPA) sustituye a la norma original de seguridad WEP. Además, es compatible con el último estándar, IEEE 802.11i, también conocido como WPA2.

Once acusaciones fueron anunciadas por el Fiscal de los Estados Unidos en el 2008. Hasta la fecha, dos de los acusados se han declarado culpables y otros dos se declararon culpables de cargos relacionados.

“Este fue una herida auto infligida, y TJX ha hecho mucho trabajo desde entonces, pero está claro que la violación fue el resultado de procesos deficientes y de negligencia”, dijo Jon Oltsik, analista senior, Enterprise Strategy Group.

Aunque TJX se ha convertido en la muestra de lo que podría suceder cuando una compañía sufre una violación masiva, Oltsik dijo que es probable que haga falta una violación de propiedad intelectual u otros datos que pongan a una empresa fuera de negocio, antes de todas las empresas tomen en serio la seguridad de los datos. Desde entonces, ha habido otras violaciones masivas. El Heartland Payment Systems Inc. se encuentra en medio de una investigación de violación de datos que afecta a millones de titulares de tarjetas y los investigadores de supermercados Hannaford descubrieron que los programas maliciosos habían saqueado 4.2 millones de números de tarjetas de crédito y débito de los sistemas de la tienda.

“La diferencia entre TJX y cualquier otra empresa no es más que la suerte del sorteo. Tenían zonas donde no se cumplía con el DSS de PCI, pero la mayoría de las empresas si cumplen, si las ves lo suficientemente de cerca”, dijo Ed Moyle, cofundador de consultoría de seguridad de IT Security Curve. “Algunos de estos entornos son bastante complejos, especialmente las compañías con muchos puntos de venta.”

Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupan de la seguridad de los datos de clientes de tarjetas de pago. Sin embargo, Oltsik dijo que no queda claro qué tanto es el fraude en el proceso de auditoría, ya que hay relativamente poca supervisión por entidades fuera de la industria de transacciones de pago.

“PCI es un buen comienzo, pero hay mucho margen para abusos y fraudes”, dijo Oltsik.

Los legisladores se han envuelto con docenas de estados pasando normas para la notificación de violación de datos, y con dos estados, Massachusetts y Nevada, enfocándose en la seguridad de los datos y las normas de encriptación. El gobierno federal ha abordado el problema por industria, empujando a la industria de la salud con fuertes normas HIPAA y abordando los problemas en la industria financiera. Por el contrario, la Unión Europea ha abordado la cuestión con un enfoque en la privacidad.

En diciembre de 2007, TJX concluyó una demanda de decenas de bancos, acordando pagar US$40.9 millones para cubrir los gastos relacionados a la violación masiva de los datos. Los grupos de banca alegaron en una demanda que la violación comprometió 94 millones de cuentas, muchas más que las 45.7 millones anunciadas por TJX.

La empresa también concluyó varias demandas colectivas hechas por los clientes que afirmaron que fueron víctimas de la violación. La empresa aceptó ofrecer a los clientes afectados tres años de servicios de monitoreo de crédito y seguro contra robo de identidad.