El caso Clorox vs Cognizant destapa una verdad incómoda: no siempre hacen falta hackers sofisticados para desatar el caos, basta con una voz convincente y un procedimiento débil.

Una multinacional, una llamada telefónica, y 380 millones de dólares en pérdidas. No es el guion de una película, sino la dramática realidad que ha puesto en jaque la reputación de Clorox y ha desatado una de las demandas más impactantes del año en el ámbito tecnológico. Todo comenzó con algo tan cotidiano como una llamada al soporte técnico.

El incidente, ocurrido en 2023 pero con consecuencias que aún se arrastran, expone una cara poco glamurosa pero peligrosamente habitual de la ciberseguridad: la confianza ciega en procedimientos mal definidos y en proveedores externos sin control suficiente. La víctima fue Clorox, una de las grandes del sector de productos de limpieza. El demandado, Cognizant, su proveedor de soporte técnico. El error, conceder acceso a un atacante sin verificar nada.

Un castillo con la puerta abierta

Según detalla la demanda presentada en California, un actor malicioso se hizo pasar por un empleado y llamó al help desk. La conversación, recogida en grabaciones incluidas como prueba judicial, pone los pelos de punta:

— No tengo contraseña, por lo que no puedo conectarme.
— Ah, vale, vale. Entonces, déjame darte la contraseña, ¿vale?

Sin autenticación, sin comprobaciones básicas, sin preguntas. Solo una contraseña nueva y acceso directo a la red corporativa. El atacante obtuvo credenciales clave, incluso de personal del área de seguridad, y desde ahí desató una cadena de sabotajes que paralizó la operativa de Clorox durante semanas. Las pérdidas: 50 millones solo en remediación, cientos más por interrupciones logísticas y de producción.

Tecnología sin procesos, una bomba de relojería

El error de Cognizant no fue tecnológico. No hubo malware, phishing avanzado ni técnicas de explotación sofisticadas. Hubo confianza, desidia y ausencia de control. Una tormenta perfecta que pone de relieve una verdad incómoda: muchos de los grandes problemas de ciberseguridad no vienen de vulnerabilidades técnicas, sino de procedimientos humanos mal definidos o mal ejecutados.

El protocolo interno de Clorox indicaba que ante una solicitud de restablecimiento de contraseña debía usarse una herramienta segura y requerirse verificación por parte del solicitante. Pero no se aplicó. El resultado ha sido una demanda de 380 millones y un daño reputacional que tardará años en cicatrizar.

¿Dónde empieza la ciberseguridad?

No en los firewalls, no en el SIEM, ni en el SOC. Comienza en algo tan básico como enseñar a los operadores de soporte que una llamada no puede ser suficiente para entregar las llaves del castillo.

Este caso es un recordatorio para el sector tecnológico: la ciberseguridad no es solo cuestión de tecnología, sino de cultura. Externalizar servicios críticos como el soporte técnico sin exigir formación, auditorías y protocolos férreos es como dejar una copia de las llaves debajo del felpudo. Tarde o temprano, alguien lo descubre.

Reflexión final

En un momento en que la inteligencia artificial y los modelos predictivos centran los titulares, lo que ha hundido a Clorox no ha sido una supermáquina maliciosa, sino la ausencia de preguntas básicas. El atacante no necesitó código, ni exploits. Solo necesitó sonar convincente.

Y eso, tristemente, sigue siendo suficiente para causar estragos en demasiadas organizaciones.

Una llamada bastó. ¿Están tus procesos preparados para resistirla?

Fuente: Noticias de ciberseguridad