Universidad Laica Eloy Alfaro de

Manabí.
Administración de las tecnología de la información.
Exposición-Primer Parcial
TARGET atacada por un robo de datos masivo
Integrantes:
• Barreto Granda Jennifer
• Loor Acosta Cristopher
• Moreira Zambrano Yelena
• Meneses Portilla Andrés
• Puentes Pin William

Curso: 9no Nivel Facultad:

Ingeniería Industrial
 INTRODUCCIÓN

Para lograr una investigación como poder minimizar la amenaza

Junto al avance de la tecnología
completa de la temática se de los delitos a través de la
informática y su influencia en casi
establece la conceptualización seguridad, aspectos de legislación
todas las áreas de la vida social, ha
respectiva del tema, generalidades informática, y por último se busca
surgido una serie de
asociadas al fenómeno, estadísticas unificar la investigación realizada
comportamientos ilícitos
mundiales sobre delitos para poder establecer el papel de la
denominados, de manera genérica,
informáticos, el efecto de éstos en auditoría informática frente a los
"delitos informáticos”.
diferentes áreas, delitos informáticos.
 Antecedentes
El 1 mayo de 1902 George Dayton fundo su
primera tienda en Roseville, Minnesota, como
la Compañía «Dayton Dry Goods». La primera
tienda Target abrió sus puertas en 1962 cerca
de Roseville, Minnesota.
Este capítulo trata de las cinco fuerzas que
definen cualquier situación competitiva: la
rivalidad entre las empresas existentes en una
industria, las amenazas de nuevos
competidores y los producto/servicios
sustitutos, y las relaciones de una empresa
utilizan estas fuerzas para lograr una ventaja
competitiva sostenible, que es la que otros no
pueden copiar inmediatamente para eliminar
el silo innovador que una empresa puede
tener.
Target, es una tienda minorista de descuentos
que ha logrado un posicionamiento de marca,
al realizar una excelsa estrategia de
mercadotecnia donde el consumidor es la gran
estrella.
Para tener éxito, una empresa necesita una
ventaja sobre sus competidores: una ventaja
competitiva. Una gran parte de la creación de
una ventaja competitiva está en utilizar
sistemas de información de manera efectiva,
es decir una empresa no puede simplemente
comprar computadoras y esperar buenos
resultados.
se caracteriza por dar al consumidor una
nueva experiencia de compra, todas las
tiendas ofrecen una gran gama de productos,
ofreciendo productos más exclusivos con
tendencia de avance de mercancías a costos
más bajos, esto es lo que diferencia la marca
de sus principales competidores (Walmart y
Kmart), que es centrarse en productos de bajo
precio.
En cuanto refiere a la parte interna, se centran
en la vida de su empleados, pues buscan que
vivan bien, se capaciten en el mundo actual, y
alcancen sus metas, también desarrollan
líderes en sus diferentes áreas, lo que ha
reconocido varios premios como el mejor lugar
donde trabajar, empresas innovadoras,
compañías más admiradas en el mundo, entre
otros.
La cadena Target, atacada

La cadena de distribución
estadounidense Target fue víctima de un
ataque informático de gran amplitud en
diciembre del 2013. Afectó a 110
millones de clientes.

El malware utilizado en estos ataques

incluye un raspador de RAM (scraper)
el cual permite a los criminales
cibernéticos capturar datos cifrados a
medida que viajan por la memoria de
la computadora. El robo de datos de Target se llevo a cabo desde el 27
de Noviembre hasta que el servicio secreto y el
departamento de justicia de Estados Unidos alertaron
a la empresa el 13 de diciembre
 Target ya se había preparado para un
ataque así, ya que contaba con mas de
300 miembros de personal de seguridad
de la información, y seis meses antes
Target había invertido 1,6 millones en un
sistema de detección de malware
llamado FireEye.

FireEye en un inicio detecto el Malware y

alerto al equipo de seguridad de Target y
la fuga de información podría haberse
evitado sin la intervención humana ya
que el sistema FireEye contaba una
opción de eliminación automático de
malware
El equipo de seguridad de Target veía muchas
amenazas a la semana y al no poder enfocarse en
todas estas eran tratadas en reuniones mensuales
del comité directivo.
 Los hackers para poder tener
acceso a los sistemas de target esta empresa había sido
robaron las credenciales de una víctima de un ataque de
empresa de sistemas de aire phishing al menos 2 meses
acondicionado que es antes.
proveedora de Target de
Pennsylvania llamada

La cadena de tiendas ha dicho que al parecer los hackers

ingresaron en un principio a su extensa red informática a través
de uno de sus proveedores. Una vez dentro, los malhechores se
movieron por las redes de Target y al final instalaron software
malicioso en el sistema de punto de venta de la empresa.
• El sitio web de Fazio declara que su sistemas
de TI y medidas de seguridad cumplen con las
practicas industriales, y que su conexión de
datos a Target era solo para facturación, envió
de contratos y administración de proyectos.
 • Se supone que los sistema de target
deben estar segmentados de modo que
los mas sensibles, incluyendo los de pagos
de clientes y datos personales, estén
aislados totalmente de otras partes de la
red y en especial de internet abierta.

Entre la información robada se incluye:

 Nombre del cliente
 Número de tarjeta de crédito o débito
 Fecha de vencimiento y código incorporado en la franja
magnética de las tarjetas
 No han podido certificar que los 3 o 4 dígitos de seguridad
que están en el reverso de las tarjetas también fueron
robados.
 los clientes atestaron las líneas
telefónica y el sitio WEB de la
empresa, indignados por la
violación de su privacidad y la
vulnerabilidad al robo de identidad
a consecuencia de esto se dieron
los siguientes acontecimientos:
• Las ventas cayeron 5,3% en e
cuarto trimestre del 2013.
• La rentabilidad bajo 46%.
• Se presentaron 70 demandas
legales contra target.
• Se estima que el daño total
ACONTESIMIENTOS TRAS EL asiente a los 18 mil millones de
dólares.
ROBO A TARGET.
 PREGUNTAS DEL CASO DE ESTUDIO

1. Liste y describa las debilidades de seguridad y control en

target que se analizan en este caso

 Equipo de seguridad de target conocía sobre la actividad hackers, pero no era suficiente para conseguir
un seguimiento inmediato
 Equipo de seguridad de target podían observar muchas amenazas cada semana pero solo podían
enfocarse en su número limitado de ellas
 Los sistemas de target no estuvieron segmentados y aislados de otras partes de la red o internet abierto,
presentaban paredes aislantes con algunos orificios.
 Los sistemas de target no estaban diseñados en su totalidad para proteger la privacidad y vulnerabilidad
de sus clientes al contrario promovían con facilidad el robo.
 2. ¿Qué factores de administración, organizaciones y tecnología contribuyeron a estos
problemas? ¿Qué tan responsable era la gerencia?

 Según lo analizado las causas del robo de datos masivos de target, recaen mucho en la
mala actuación de la gerencia. Pues según target, estaba preparado para un ataque de
este tipo, pues adicional equipo de seguridad instaló una plataforma de detección
“Malware” llamada software “FiveEye” de más de 1.6 millones, el cual tenía una
opción de eliminar el malware automáticamente al detectarlo, pero el equipo de
seguridad de target detecto dicha función para poder tener la decisión final, encanto a
lo que se debía hacer, es decir el equipo de target sabía sobre la actividad de los
hackers, pero no era suficiente para haber podido garantizado seguimiento inmediato.
 Entre los factores más relevantes que contribuyen a este gran
problema fueron:

 No haber implementado desde sus inicios un sistema sofisticado para salvaguardar los sistemas de
pagos de sus clientes.
 De las reuniones que realizaba el comité directivo solo se enfocaban en un número limitado de
amenazas
 3. ¿Cuál fue el impacto de las pérdidas de datos de target sobre esta empresa y
sus clientes?

 El mismo año 2013 que inició este robo de datos más grande de la historia, en el
cuarto trimestre las ventas de target disminuyeron en un 5,3% lo que provoco que
su rentabilidad bajara en un 46%. Empeorando para inicios del 2014 a causa de
la renuncia contínua de sus clientes presentándose adicionalmente más de 70
demandas legales
 El impacto que provocó dichas situaciones afectó en gran relevancia la integridad
de la empresa
 4. ¿Qué soluciones sugeriría para evitar estos problemas?

De acuerdo a la naturaleza y funcionalidad de toda empresa

tomando en cuenta el alcance y demanda de clientes dentro de
un sector económico, debe diseñarse e implementarse un SI que
brinde y salvaguarde la seguridad de sus clientes, situación que
siempre debe ser vista como una inversión “bien hecha” mas no
como un gasto, pues en este caso Target siendo una de las
empresas más grande de los EEUU, tuvo que perder a sus
clientes para que su gerencia empezara actuar ante la mala
administración y uso de sus sistemas de seguridad.
 • Según lo analizado en el caso, podemos concluir que el desarrollo y el avance de la
tecnología de la información contienen aspectos positivos y negativos de la tecnología en
el mundo lo cual se aprecia de forma evidente en la sociedad actual. Por ejemplo, la
tecnología brinda facilidad en el acceso a distintas formas de comunicación, pero al mismo
tiempo puede generar vulneración de la privacidad como consecuencia de su uso.

Este fue el caso de Target quien fue víctima de un ataque de hackers aun
teniendo una seguridad muy buena en su sistema, pero hay que resaltar que
gracias a esta lección de vida, la empresa Target no ha dejado de actualizarse y
mejor constantemente su seguridad de redes para salvaguardar sus sistemas de
pagos y los datos de sus clientes.

Si bien la tecnología trae enormes beneficios, los usuarios deben pensar y

reconocer los límites de esta herramienta. A veces por despreocupación,
descuido o demasiada confianza se obvian los riesgos que esto incluye.