El botnet Zeus, una familia de Troyanos utilizados por los ciberdelincuentes para atacar a víctimas con malware para el robo de datos, fue interrumpido temporalmente esta semana después de que el ISP sospechoso de albergar sus servidores de comando y control fuera desconectado.

Troyak.org, una empresa basada en Kazajstán, la cual alberga los servidores que controlan el malware para spam y botnets, fue desconectada temporalmente el martes. Se estima que Troyak alberga el 25% de los servidores de comando y control que se conectan a los computadores infectados por Zeus. ScanSafe, empresa que fue adquirida recientemente por Cisco Systems Inc., identificó un pico en el tráfico de malware antes del cierre, lo que indica que los controladores de los bots pudieron haber sabido con antelación sobre la interrupción de sus operaciones.

“Los datos parecen indicar que había algún tipo de advertencia previa y de ser así habrían tenido oportunidad suficiente de actualizar sus bots”, dijo Mary Landesman, investigadora senior de seguridad de ScanSafe, ahora parte de Cisco.

La interrupción de Zeus fue de corta duración. Landesman dijo que todas las conexiones que se rompieron cuando Troyak fue desconectado se restablecieron una vez que el ISP adquirió un nuevo proveedor de conectividad.

“Hemos revisado las direcciones IP y las mismas reaparecieron cuando Troyak se reconectó”, dijo.

Zeus es una amplia familia de Troyanos dotados de herramientas de ataque automatizado. El caché de 75GB descubierto el mes pasado se cree que es un sitio de descarga de hackers vinculados a las infecciones de Zeus. El caché contiene una variedad de datos sensibles, desde credenciales de cuentas bancarias hasta números de Seguro Social y contraseñas de correo electrónico.

“Está a disposición del público por lo que hay muchos segmentos de Zeus y del botnet Zeus,” dijo Landesman. “El malware abarca desde el robo de credenciales vía ataques de “phishing” hasta ataques más sofisticados contra los bancos”.

Se calcula que 1.6 millones de máquinas infectadas componen los cientos de botnets Zeus. En 2007, una pandilla de cibercriminales alemana utilizó Zeus en varios ataques a bancos europeos, resultando en el robo de 20 millones de dólares. Hoy en día, los botnets Zeus atacan a casi mil bancos, y los expertos dicen que se ha convertido en una importante plaga en el sector bancario. El troyano se utiliza para añadir campos a formularios de cuenta bancaria, drenando silenciosamente las cuentas bancarias mientras se muestra un saldo falso a las víctimas.

Algo que desconcierta a los investigadores de seguridad es cómo Troyak fue interrumpido. En un documento expedido por RSA, la División de Seguridad de EMC Corp., los investigadores dijeron que el proveedor de conectividad podría haber sido cerrado por las autoridades o por sus propios operadores. El nombre “Troyak”, según el documento, es la jerga Rusa para “Troya”, un indicio más de que Troyak.org puede no ser un negocio legítimo.

“La inactividad de la AS-Troyak puede ser el resultado de una falla técnica, aunque este es el escenario menos probable, dado que las operaciones maliciosas de este tipo generalmente no tienen un único punto de falla”, según el informe de RSA.

El incidente de Troyak es similar al del cierre de McColo Corp. en 2008, cuando los proveedores de conectividad dejaron de proveer acceso a la red a este proveedor de hosting. En aquel entonces los investigadores habrían pronosticado que el spam y el malware se recuperarían completamente y así fue.

“Como industria estamos tratando con mucha gente que está haciendo dinero con estas actividades criminales y hasta que dejen de ganar dinero o sus clientes comiencen a incurrir en costos debido a las interrupciones, habrá poca motivación para que ellos hagan lo correcto,” dijo Landesman. “Para muchos de estos grupos, este es el medio más viable para ellos ganarse la vida.”

Microsoft tilda como error humano las recientes vulnerabilidades críticas de SMB v2 que expone a los usuarios de Windows ante ataques de ejecución remota de código, y sostiene que es prácticamente imposible identificar estos tipos de errores con las herramientas de revisión código y técnicas existentes a la fecha.

De acuerdo a un post-mortem realizado por el gurú de seguridad de Redmond, Michael Howard, la empresa detectó el código vulnerable “muy tarde” en el proceso de desarrollo de Windows 7, pero argumentó que no existen herramientas de análisis ni requisitos en el SDL (Ciclo de Vida de Desarrollo de Seguridad) que pudieran detectar este tipo de error humano.

En este momento no hay ninguna herramienta de análisis estático que conozca que pueda señalar que el desarrollador utilizó una variable de manera incorrecta, y nuestras herramientas de análisis no detectaron el potencial problema en los límites de una matriz, en parte porque es difícil hacerlo porque actualmente generan una cantidad muy grande de falsos positivos.

Sólo hay un requisito o recomendación de SDL que podría detectar esto, y son las pruebas de fuzzing. De hecho, lo encontramos muy tarde en el proceso de desarrollo de Windows 7 utilizando fuzzing a través de la red, y es por eso que después del RC (Release Candidate) las versiones de Windows 7 no tienen este error.

Howard no explicó por qué la solución no fue portada a Windows Vista, ni otras versiones de Windows vulnerables, de manera independiente, hasta que fue descubierto y publicado por investigadores de seguridad externos.

Dijo que la única otra técnica que se puede utilizar para encontrar este tipo de vulnerabilidad – la de una variable incorrecta en la referencia de un arreglo – es el proceso “muy lento y minucioso de revisión de código.”

Este código fue revisado antes del check-in de Windows Vista, pero el error no fue encontrado en ese momento. Los seres humanos son falibles, después de todo.

Howard dijo que las vulnerabilidades que surgen en el código del sistema operativo Windows de hoy muestra que el SDL obligatorio “ha depurado los principales huecos de seguridad”.

Por supuesto, yo podría estar equivocado, pero mirando todos los errores durante el año pasado en Windows, el patrón único que puede detectar es que no hay patrón! La mayoría de los errores que veo en Windows son errores únicos, los que no se pueden encontrar fácilmente a través de análisis estático o de la educación, lo que deja sólo la revisión de código manual, y para algunas clases de errores, pruebas de fuzzing. Pero las pruebas de fuzzing no son perfectas, porque los datos con formato incorrecto que se generan puede que no provoquen el fallo al momento de ejecutar el código vulnerable.

Pidió a los desarrolladores de software que dediquen más tiempo a las defensas contra vulnerabilidades conocidas, así como tratar de prevenir o eliminar las vulnerabilidades.

Microsoft publicó un aviso el martes alertando a los usuarios sobre una falla crítica en el Server Message Block (SMB) y publicó las medidas que pueden tomar los usuarios para mitigar la amenaza de un ataque.

El SMB se usa en Windows para comunicar mensajes a los dispositivos de la red y se utiliza para compartir archivos y comunicarse con las impresoras. El SANS Internet Storm Center, advirtió que el código de explotación surgió la semana pasada, atacando la vulnerabilidad de día cero.

En su aviso, Microsoft dijo que la falla es causada porque la implementación de SMB no analiza adecuadamente las solicitudes de negociación SMB.

“Microsoft está trabajando en desarrollar una actualización de seguridad para Windows para corregir esta vulnerabilidad”, el gigante del software dijo en su aviso. “Microsoft lanzará la actualización de seguridad una vez se haya alcanzado un nivel adecuado de calidad para una amplia distribución.”

La falla puede ser aprovechada atacando a los usuarios de Windows 7 y Windows Vista con SMB habilitado. El código de explotación, publicado en la lista de correo “Full-Disclosure” e integrado a la plataforma de pruebas Metasploit, permite a un atacante provocar la caída de la máquina de forma remota.

Christopher Budd, jefe de comunicaciones de respuesta de seguridad para Microsoft dijo que Microsoft no está enterado de algún ataque que utilice esta vulnerabilidad.

En las pruebas del código de explotación, los investigadores de Microsoft descubrieron que algunos intentos de aprovechar la debilidad permitían a un atacante tomar el control completo del sistema afectado. Sin embargo, la mayoría de los intentos resultaron en un reinicio del sistema.

El centro de información sobre vulnerabilidades Secunia dio a la falla una calificación de moderadamente crítica. Como solución, Microsoft sugiere desactivar SMB2, pero advierte que el uso de Editor del Registro puede provocar problemas graves que pueden requerir una reinstalación del sistema operativo. Como alternativa, los usuarios pueden bloquear los puertos TCP 139 y 445 en el firewall, un método que bloquea todas las comunicaciones entrantes no solicitadas de Internet. Microsoft advirtió que esta solución podría hacer que las aplicaciones dejen de funcionar.

Microsoft dijo que era la segunda vez en dos semanas que una falla no era informada responsablemente al fabricante de software. La semana pasada, circulaba en el sitio milw0rm código de explotación que permite a los atacantes explotar una vulnerabilidad de FTP en el Microsoft Internet Information Services (IIS). Microsoft está probando actualmente un parche, pero podría no tenerlo listo a tiempo para su revisión mensual de actualizaciones el martes.

Microsoft publicó un aviso esta semana advirtiendo a los clientes de una grave vulnerabilidad en el Microsoft Internet Information Services (IIS) y de la disponibilidad de código de explotación en circulación que podría permitir a un atacante aprovechar la falla.

El fallo afecta a Microsoft IIS versiones 5.0, 5.1 y 6.0, dejando el servidor web vulnerable a un ataque de FTP. Bruce Dang y Jonathan Ness, del Microsoft Security Response Center dan detalles de la vulnerabilidad en una entrada del blog, describiéndolo como un “desbordamiento de pila en el servicio FTP al utilizar un nombre de directorio largo especialmente diseñado”.

“Si un atacante puede explotar correctamente esta vulnerabilidad, podría ejecutar código con los permisos de LocalSystem, el servicio en virtud del cual se ejecuta el servicio FTP”, dijeron los investigadores de la falla de FTP de IIS en el blog de Investigación y Defensa de Seguridad.

Si el IIS está configurado para permitir que usuarios anónimos tengan acceso de escritura, el atacante no tendría que estar autenticado para ejecutar el ataque, dijo Microsoft.

Microsoft está trabajando en un parche y espera lanzarlo al mercado una vez “alcance un nivel adecuado de calidad para una amplia distribución.” Mientras tanto, las empresas pueden implementar una solución temporal mediante la modificación de los permisos del sistema de archivos NTFS para no permitir la creación de directorios a los usuarios de FTP.

El Computer Emergency Response Team de los Estados Unidos (US-CERT), emitió una advertencia el lunes avisando que no había ninguna solución práctica al problema. Secunia, centro de investigación de vulnerabilidades danés, dio a la falla una calificación de moderadamente crítica.

Microsoft dijo que la falla no se informó de manera responsable. Fue descubierta por un investigador de seguridad que lleva el nombre de “Kingcope”. El código de explotación comenzó a circular en el sitio web de milw0rm el lunes.

El investigador de seguridad de Arbor Networks José Nazario ha descubierto un botnet malicioso que utiliza Twitter para su operación de comando y control.

El botnet, que está vinculado a ladrones de identidad en Brasil, utiliza mensajes de estado de Twitter para comunicarse con los bots – enviando nuevos enlaces a los computadores infectados, así como nuevos comandos y ejecutables para descargar y ejecutar.

A continuación un vistazo a la cuenta de Twitter en cuestión (a través del blog de Arbor Networks):

“Es una operación de robo de datos”, explicó Nazario.

Dijo que los bots están enviando los datos a direcciones vinculadas a criminales de Brasil que se especializan en los troyanos bancarios.

Los troyanos bancarios se utilizan para robar nombres de usuarios, contraseñas, PINs, palabras de verificación y otras informaciones de los sitios web del banco.

La información robada es generalmente transferida al sitio web de un hacker mediante un formulario web. Los más vulnerables son los usuarios de banca internet y sistemas de pago que utilizan contraseñas que no cambian cada vez que un usuario inicia sesión. Por ello, muchos bancos están cambiando a contraseñas dinámicas que expiran después de ser utilizadas una vez.

Nazario dijo que hay un buen número de cuentas de Twitter siendo utilizadas para controlar botnets. El equipo de seguridad de Twitter está consciente de la situación. Algunas de las cuentas maliciosas ya han sido borradas.

Investigadores de seguridad están alertando sobre un potente coctel de malware – troyanos y programas para robar contraseñas- que está siendo empujado a los usuarios de Windows desde 55.000 sitios web hackeados.

Según Mary Landesman, investigadora del equipo de alerta de amenaza a la seguridad denominado ScanSafe, los delincuentes informáticos han incorporado un IFRAME malicioso en decenas de miles de sitios web para lanzar ataques contra usuarios de PCs que navegan a los sitios fraudulentos.

El iFrame apunta a un sitio intermediario de ataque que a su vez carga exploits y malware adicional de hasta siete dominios diferentes de malware, Landesman dijo.

Se realizó una búsqueda en Google de la etiqueta del script del iFrame y se encontró incrustado en aproximadamente 54,900 sitios, muchos de ellos destinos legítimos de internet.

Los sitios víctima incluyen www.feedzilla.com, latindiscover.com, y un número de centros de beneficencia y enfermería, incluyendo howellcarecenter.com, sweetgrassvillagealf.com, www.foodsresourcebank.org y morningsideassistedliving.com.

En el momento de escribir esta entrada de blog, el número de sitios comprometidos que figuran en los resultados de Google subió a 56,000.

Todavía no está claro qué vulnerabilidades están siendo explotadas en este ataque, pero, a juzgar por los incidentes recientes, los usuarios deben asegurarse de que el sistema operativo y el software de su PC estén totalmente parchados.

Los programas más comunes objeto de ataques incluyen a Adobe Flash, Adobe PDF Reader, QuickTime de Apple, WinZip y RealPlayer. Además de los parches de Microsoft Windows, estas aplicaciones deben ser actualizadas de inmediato a la última versión.

Usuarios malintencionados están poniendo en marcha herramientas de ejecución de código para la explotación de la nueva vulnerabilidad sin parchear en el control ActiveX de Video de Microsoft, la empresa advirtió en un aviso.

Los ataques están dirigidos a los usuarios de Microsoft Internet Explorer. “Un atacante que logre explotar esta vulnerabilidad podría obtener los mismos privilegios que el usuario local. Cuando se utiliza Internet Explorer, la ejecución de código es remota y puede que no exija la intervención del usuario,” dijo Microsoft.

La compañía dijo que el control de ActiveX vulnerable puede ser removido sin problemas de compatibilidad:

Nuestra investigación ha mostrado que no hay usos “by-design” para este control ActiveX en Internet Explorer, incluyendo todos los identificadores de clases dentro de la msvidctl.dll que aloja a este control ActiveX. Para clientes Windows XP y Windows Server 2003, Microsoft recomienda descontinuar el soporte para este control ActiveX en Internet Explorer.

… Aunque no se ven afectados por esta vulnerabilidad, Microsoft recomienda que los clientes con Windows Vista y Windows Server 2008 descontinúen el soporte para este control ActiveX en Internet Explorer utilizando los mismos identificadores de clases como una medida de defensa en profundidad.

Los usuarios de Internet Explorer deben prestar especial atención a la sección de soluciones del aviso de Microsoft y tomar todas las precauciones necesarias.

Microsoft ha activado su proceso de respuesta ante incidentes de seguridad, pero un parche no estará listo en por lo menos unos meses.

Un investigador de seguridad de Juniper Networks Inc. quien preveía demostrar una manera de hackear el software de un cajero automático en el evento de seguridad Black Hat en Las Vegas retiró su presentación a petición de un proveedor de ATM.

La presentación de Barnaby Jack, “Jackpotting cajeros automáticos,” que iba a tener lugar el 30 de julio, fue sacada de la lista el lunes 29 de junio. En una declaración, el proveedor dijo que recibió una solicitud para retirar la presentación de un proveedor de cajeros automáticos.

“Juniper cree que la investigación de Jack es importante y que se presentaría en un foro público a fin de promover el estado de la seguridad. Sin embargo, el proveedor de ATM afectado nos ha expresado preocupación sobre la revelación pública de los resultados de la investigación antes de que sus constituyentes estén plenamente protegidos”, dijo Juniper. “Considerando el alcance y la posible exposición de este tema con otros proveedores, Juniper decidió aplazar la presentación de Jack hasta que todos los proveedores afectados hayan abordado suficientemente los temas que se encuentran en su investigación”.

Jack habría demostrado una forma de atacar el software subyacente de una línea popular de nuevo modelo de cajeros automáticos. La presentación habría abordado vectores para ataques locales y remotos, y terminaría con una demostración en vivo en un cajero automático nuevo, sin modificaciones.

“Estamos llegando a otros proveedores de ATM con la oferta de asistencia con mucha diligencia para hacer frente a los riesgos de seguridad y las vulnerabilidades descubiertas en la investigación de Jack”, dijo Juniper.

La técnica de “hacking” utilizada es única. Los métodos tradicionales para violar cajeros automáticos involucran robo de tarjetas o robo físico del ATM.

Los cajeros automáticos han sido objeto de una mayor presión para hacer más seguros sus modelos de ATM luego de haber sucedido varios ataques de alto perfil. El pasado diciembre, RBS WorldPay, la división de procesamiento de pagos de Royal Bank of Scotland Group PLC con sede en EEUU, divulgó un fallo de seguridad en el que los infiltrados utilizaron millones de datos de tarjetahabientes para hacer una estafa coordinada de cajeros automáticos, perdiendo un total de 9 millones de dólares. Los ladrones utilizaron tarjetas de débito de nómina clonadas y robadas, y tarjetas de regalo recargables.

En Europa oriental se utilizó malware en varias infracciones de cajeros automáticos. A principios del mes de Junio, el proveedor de seguridad Trustwave Corp. dijo que sus investigadores descubrieron el malware mientras llevaban a cabo una investigación de violaciones de ATM en Rusia y Ucrania en los últimos meses. Trustwave afirma que 20 cajeros automáticos estaban infectados con malware sofisticado que permite a los atacantes no sólo robar y espiar remotamente los datos y números de identificación, sino también retirar dinero en efectivo. Una tarjeta especializada podría permitir a un atacante retirar hasta 600,000 dólares en cajeros automáticos grandes.

Un cambio reciente en los requisitos de cumplimiento de PCI de MasterCard Inc. significa que posiblemente los comercios que procesan entre uno y seis millones de transacciones anualmente tengan que invertir más tiempo y dinero para el cumplimiento con el estándar PCI.

Según las nuevas normas, los comercios nivel 2 deben contratar a un auditor de PCI autorizado (PCI QSA) para completar una evaluación onsite anual de la seguridad de los datos antes del 31 de diciembre de 2010. Anteriormente, a estos comercios sólo se les requería completar un cuestionario de autoevaluación para fines de cumplir con el Programa de Protección de Datos Web de MasterCard. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) constituye la base de referencia para el Programa de Protección de Datos Web de MasterCard.

Los cambios se anunciaron en el boletín global de seguridad de MasterCard el 15 de junio y se distribuyó a los adquirentes y los procesadores de MasterCard, de acuerdo a Chris Monteiro, portavoz de Purchase, empresa con sede en Nueva York.

“El actual aumento de los requisitos de validación para el cumplimiento con PCI prevé una revisión independiente externa, lo que permite que haya coherencia en la aplicación e implementación de los requisitos de PCI DSS” escribió Monteiro en un correo electrónico.

MasterCard estima que menos de 2.000 comercios se verán directamente afectados por la revisión de la norma. La evaluación onsite debe ser realizada por un Auditor de Seguridad Calificado (QSA); el Consejo de Normas de Seguridad de PCI (PCI SSC) regula la formación y aprobación de los QSAs.

Diana Kelley, fundadora y socia de la firma consultora SecurityCurve, dice que las evaluaciones onsite no son baratas, los precios varían significativamente dependiendo del número de lugares que necesiten ser evaluados.

“A pesar de que va a costar dinero a los comercios de nivel 2 – y probablemente demasiado tiempo – yo creo que tiene sentido requerir pasar por una evaluación onsite independiente”, dijo. “La autoevaluación es bastante difícil. Es fácil pasar por alto algo importante en su propio ambiente”.

De hecho, cuando los QSA de VeriSign son llamados para la revisión en un cuestionario de autoevaluación (SAQ), se encuentran un montón de errores, dice Branden Williams, director de práctica de PCI en VeriSign Inc.

“Ellos simplemente no tienen la experiencia y no saben realmente cómo responder a algunas de las preguntas”, dijo. “Y puede hacer que las empresas gasten mucho más dinero en la reparación de lo que sea necesario.”

Algunos comercios están resistiéndose al cambio, dijo Williams, pero la consideró una jugada inteligente por parte de MasterCard. Muchos comercios de nivel 2 son en realidad grandes empresas, y muchos son nombres conocidos, dijo.

Visa Inc., sin embargo, no está planificando cambios de este tipo en sus requisitos de cumplimiento con PCI. En una declaración emitida el viernes, la empresa basada en San Francisco dijo que considera que su “enfoque de validación de cumplimiento proporciona a grandes comercios una mayor flexibilidad para elegir el método de validación que funciona mejor en su negocio, al mismo tiempo que impulsan a la industria de pagos hacia una mayor seguridad de los datos.

“A través de una combinación de incentivos, multas, capacitación y recursos, Visa ha creado un marco de cumplimiento basado en el riesgo que responde a las necesidades de mercado y alienta a la vigilancia permanente en la seguridad de los datos”, continuó Visa. “Obligando a todos los comercios de nivel 2 a hacer evaluaciones onsite puede introducirles potencialmente costes innecesarios en un entorno empresarial ya difícil, sin demostrar un incremento de su seguridad. Si bien Visa siempre alienta a los comercios a invertir en evaluaciones externas objetivas, la industria debe reconocer y apoyar a los comercios con capacidad y conocimiento interno para llevar a cabo auto-evaluaciones rigurosas”.

Chris Mark, CEO y presidente de la empresa de consultoría Aegenis Group Inc., también criticó el requisito añadido por MasterCard. Señaló en un post en su blog que todas las empresas involucradas en las cinco mayores violaciones han sido evaluadas o están en proceso de ser evaluadas por un QSA.

“Uno tiene que cuestionar el valor de exigir a los comercios evaluarse con un QSA cuando la evidencia anecdótica sugiere que el uso de un QSA no reduce el riesgo de una violación”, escribió.

Williams, de VeriSign, dijo que los comercios de nivel 2 deben realizar una evaluación básica de preparación con un QSA PCI para ver el grado de precisión con que han respondido al SAQ y si están trabajando en la versión más adecuada del SAQ para su negocio. El trabajo debe comenzar ahora para tener tiempo de remediación y para atender al plazo de cumplimiento, dijo.

Los nuevos requisitos de MasterCard en última instancia ponen más presión sobre el PCI SSC para centrarse en la garantía de calidad del QSA, dijo Williams. “Todo el mundo sabe que hay QSAs buenos y malos”, dijo.

El PCI SSC inició un programa de garantía de calidad para QSAs el pasado otoño e incluye en su lista a las empresas QSA que están en remediación por violar los requisitos de validación de QSA aplicables.

TJX Companies, Inc., que ha sido sometido a un aluvión de demandas judiciales como consecuencia de una violación masiva de los datos de sus sistemas, acordó pagar US$9.75 millones, solucionando una demanda presentada por los Procuradores Generales de 41 estados.

La empresa matriz de las tiendas T.J. Maxx y Marshall, publicó en enero de 2007 que sus sistemas habían sido hackeados, exponiendo por lo menos 45.7 millones de tarjetas de crédito y débito a un posible fraude. Bajo los términos del acuerdo, la compañía pagará $2.5 millones de dólares para crear un fondo de seguridad de datos para los estados y una suma de $5.5 y $1.75 millones de dólares para cubrir los gastos relacionados con las investigaciones del estado.

Además, TJX dijo que acordó certificar que el sistema informático de TJX cumple con requisitos detallados de seguridad de datos especificados por los Estados Unidos, y fomentan el desarrollo de nuevas tecnologías para hacer frente a vulnerabilidades sistémicas en el sistema de tarjetas de pago de EEUU.

“En virtud de este acuerdo, TJX y los Procuradores Generales se han puesto de acuerdo para asumir papeles de liderazgo en la exploración de nuevas tecnologías y enfoques para buscarle solución a los problemas sistémicos de la industria de tarjetas de pago de los EEUU que continúan afectando a empresas e instituciones, y que hacen de los consumidores en los Estados Unidos en todo el mundo los objetivos para el aumento de la delincuencia cibernética”, dijo en un comunicado Jeffrey Naylor, director financiero y administrativo de TJX.

Naylor reiteró la postura de TJX a lo largo del incidente que la empresa no violó ninguna ley de protección al consumidor o de seguridad de datos. “La decisión de entrar en este acuerdo refleja el deseo de TJX de concentrarse en su negocio principal, sin distracciones, y de promover medidas de ciber-seguridad que beneficiarán a todos los consumidores”, dijo la compañía.

Según los investigadores, a lo largo de un período de 18 meses, hackers se aprovecharon de un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada de un programa sniffer para vigilar y capturar los datos transaccionales de TJX. Investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad anticuado. El Wi-Fi Protected Access (WPA) sustituye a la norma original de seguridad WEP. Además, es compatible con el último estándar, IEEE 802.11i, también conocido como WPA2.

Once acusaciones fueron anunciadas por el Fiscal de los Estados Unidos en el 2008. Hasta la fecha, dos de los acusados se han declarado culpables y otros dos se declararon culpables de cargos relacionados.

“Este fue una herida auto infligida, y TJX ha hecho mucho trabajo desde entonces, pero está claro que la violación fue el resultado de procesos deficientes y de negligencia”, dijo Jon Oltsik, analista senior, Enterprise Strategy Group.

Aunque TJX se ha convertido en la muestra de lo que podría suceder cuando una compañía sufre una violación masiva, Oltsik dijo que es probable que haga falta una violación de propiedad intelectual u otros datos que pongan a una empresa fuera de negocio, antes de todas las empresas tomen en serio la seguridad de los datos. Desde entonces, ha habido otras violaciones masivas. El Heartland Payment Systems Inc. se encuentra en medio de una investigación de violación de datos que afecta a millones de titulares de tarjetas y los investigadores de supermercados Hannaford descubrieron que los programas maliciosos habían saqueado 4.2 millones de números de tarjetas de crédito y débito de los sistemas de la tienda.

“La diferencia entre TJX y cualquier otra empresa no es más que la suerte del sorteo. Tenían zonas donde no se cumplía con el DSS de PCI, pero la mayoría de las empresas si cumplen, si las ves lo suficientemente de cerca”, dijo Ed Moyle, cofundador de consultoría de seguridad de IT Security Curve. “Algunos de estos entornos son bastante complejos, especialmente las compañías con muchos puntos de venta.”

Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupan de la seguridad de los datos de clientes de tarjetas de pago. Sin embargo, Oltsik dijo que no queda claro qué tanto es el fraude en el proceso de auditoría, ya que hay relativamente poca supervisión por entidades fuera de la industria de transacciones de pago.

“PCI es un buen comienzo, pero hay mucho margen para abusos y fraudes”, dijo Oltsik.

Los legisladores se han envuelto con docenas de estados pasando normas para la notificación de violación de datos, y con dos estados, Massachusetts y Nevada, enfocándose en la seguridad de los datos y las normas de encriptación. El gobierno federal ha abordado el problema por industria, empujando a la industria de la salud con fuertes normas HIPAA y abordando los problemas en la industria financiera. Por el contrario, la Unión Europea ha abordado la cuestión con un enfoque en la privacidad.

En diciembre de 2007, TJX concluyó una demanda de decenas de bancos, acordando pagar US$40.9 millones para cubrir los gastos relacionados a la violación masiva de los datos. Los grupos de banca alegaron en una demanda que la violación comprometió 94 millones de cuentas, muchas más que las 45.7 millones anunciadas por TJX.

La empresa también concluyó varias demandas colectivas hechas por los clientes que afirmaron que fueron víctimas de la violación. La empresa aceptó ofrecer a los clientes afectados tres años de servicios de monitoreo de crédito y seguro contra robo de identidad.