Caso de Estudio

“Security Breach at TJX”

1. Antecedentes de la empresa

TJX es una empresa fundada en 1976 in Massachusetts USA, es un retail líder en

ropa y moda para el hogar que ofrece productos a bajos precios en Estados Unidos.
Esta empresa opera 8 unidades de negocios independientes:
- USA: T.J. Maxx, Marshalls, Homegoods, A.J. Wright y Bob’s Stores
- Canadá: Winners, Homesense
- Europa: T.K. Maxx

Ocupa el puesto 89 en el ranking de la lista Fortune y reportó ingresos de 30.9

billones el 2015. Además cuenta con 3600 tiendas en 9 países, 3 sitios de e-
commerce y 216,000 asociados.

Sin embargo, esta empresa experimentó en el 2006 el robo de datos de hasta 94

millones de tarjetahabientes (tarjetas de crédito y débito) los cuales fueron
capturados principalmente a través del sistema inalámbrico que utilizan los
controladores de tiendas para manejar los equipos POS (Point of Purchase).

Este caso fue uno de los ataques de seguridad más grande de la historia.

2. Estrategia de negocio

Su estrategia de negocio es ofrecer una combinación de productos de marca y

calidad pero a precios más bajos que las tiendas por departamento convencionales y
las tiendas de especialidad (entre 20% a 70% menos). Así mismo en enfocarse en
determinados segmentos del mercado.
 Para lograr esto se abastece directamente de los fabricantes a precios de menudeo
durante todo el año (no compra en base a tendencias por temporada). A su vez
brinda crucial importancia en la eficiencia operacional, relaciones con sus
proveedores y ventas a escala masiva.

A continuación mostramos a la empresa frente a la competencia en términos

financieros.

3. Problemática

El problema de seguridad puntual en este caso fue que la empresa, a pesar de

contar con un sistema y prácticas de encriptación de datos estándar, tenía ciertas
debilidades en el sistema inalámbrico de los controladores de sus tiendas al
momento de procesar transacciones (POS).
 Durante esos breves momentos los ladrones usaban una laptop con antena para
acceder a la red inalámbrica y obtener la información (transacciones, cuentas de
usuarios de la empresa, información de tarjetahabientes, etc.) ya decriptada.

Otro punto de acceso débil al sistema corporativo era mediante el acceso físico a los
Kioskos electrónicos en las mismas tiendas (introduciendo físicamente una memoria
USB).

Además, la empresa presentaba debilidades en tema de seguridad, siento altamente

vulnerable a cualquier ataque cibernético. Posteriormente, invirtió más de 200
millones para lidiar con el robo de sus datos.

4. Principales causas del ataque

Causas
No contaba con tecnología
integral de encriptación para la
transferencia de datos del
sistema inalámbrico (POS).
Descripción
TJX transmitía la información de los pagos y no
encriptaba los datos de las tarjetas de crédito, lo cual
fue fácilmente interceptado por los hackers. Además
aplicaban inyecciones de SQL a las base de datos

La ausencia de un monitoreo a TJX no contaba con programas de monitoreo en sus

sus redes. redes por lo tanto no podía identificar ningún posible
ataque.

TJX no tenía ningún registro de procesamiento. Esto

No contaba con registro de hubiera permitido realizar un análisis forense del
procesamiento análisis de las transacciones del sistema y saber los
accesos, que tipo de documento se agregaron
cambiaron o borraron. Este log se debe tener cuando
se manejan tal volumen de información.
No contaba con un auditor
externo que identificara los
riesgos a los que estaba
expuesto.
TJX no realizaba auditorias regulares en el área de TI.
Esta podría haber sido la causa que no se hayan
detectado a tiempo las vulnerabilidades en seguridad
informática. Además, no contaba con un plan de riesgos
ni de mitigación del mismo.

Según el estándar de PCI claramente indica que

Violación de los códigos de PCI- después que la autorización de pago es recibida, los
DSS datos no deberían ser almacenados como CVC, PIN
asociados con las tarjetas de créditos.
Sin embargo, TJX violo la política reteniendo dicha
información sin encriptarla.

TJX no contaba con una política de seguridad del

Falta de seguridad en los assets inventario tecnológico en sus tiendas.
de la tiendas Los empleados podían insertar un usb y de esta
manera se podía cargar software en cualquiera de las
terminales y conectarse a su red, volviéndola
vulnerable.

TJX adoptó un protocolo de seguridad WEP en sus

Inadecuado uso del Wireless en tiendas. Cuando los códigos de barras de productos
sus redes son escaneados a través de su punto de venta se emite
transmisiones inalámbricas entre el escaneo y los
receptores de datos en las tiendas y a través de red
corporativa.
Sin embargo estas podrían ser hackeadas en minutos
ya que WEP no satisfacía los estándares de seguridad
que requiere el uso de un protocolo más potente para
los WAP (Wifi Protected Access). Ver gráfico:

Falta de implementación de No contaba con firewalls suficientes en su red interna y

firewalls. externa.

Carencia de políticas y procesos No se contaban con políticas y procesos definidos de TI

de seguridad informática para garantizar la seguridad informática dentro de la
empresa.
5. Interrogantes

a) ¿Cómo se pudo haber evitado la brecha de seguridad y las intrusiones?

El área de TI (en este caso el área de seguridad) debió haber realizado una auditoria
y un análisis de vulnerabilidad respecto a los temas de seguridad de la compañía.

Esto con la finalidad de poder identificar los riesgos y clasificarlos según su prioridad
para tomar acciones inmediatas e implementar medidas de seguridad.

Así mismo, el área de TI ha debió desarrollar e implementar una política de

seguridad en la cual cubran los puntos más relevantes:
 Monitoreo en sus sistemas de redes
 Contar con la tecnología (hardware y software) actualizado
 Fortalecer su BD e implementar técnicas para evitar los ataques
 Contar con un plan de riesgos y seguridad con la finalidad de identificar a los
responsables.

Finalmente se debieron haber tomado las siguientes acciones:

Wireless

 La empresa TJX debió haber hecho upgrade de su protocolo WEP hacia WPA.
 Se debió instalar un programa sniffer (detectan posibles comportamientos
riesgosos).

Política de seguridad respecto a los assets

 Se deben contar con lock con la finalidad de proteger los datos.

 Evitar el uso de USB, CD en computadoras o cualquier tipo de hardware.
 La infraestructura tecnológica debería estar localizada cerca de cámaras de
seguridad y guardar los registros de los videos.
 Se debe establecer un único id para cada persona que quieres acceder a los
sistemas de la empresa.

Herramientas de monitoreo en sus redes

 Implementar alertas para los accesos no autorizado a la red.

 Evitar las fugas de información. Ejemplo concreto de esta herramienta?
 Se cumpliría con los requisitos de seguridad y se tendría el mantenimiento de los
registros. Ejemplo concreto de esta herramienta?

Encriptar la información

 Encriptar la información en todos los puntos donde se ejecuten transacciones.

 Si la empresa cuenta con Patrner y Vendor, y se comparte información sensible
con ellos, la data debe estar totalmente encriptada y dichas empresa deberían
contar con políticas de seguridad para manejar este tipo de información.
 Cambio regular de las contraseñas de acceso.
Mejorar el Diseño de Base de datos y administración de Base de Datos

 Usar triggers con el fin de prevenir los ataques a las bases de datos.
 Implementar el control de acceso al BD, asignar roles y permisos a los equipos
respectivos.
 Mejorar la arquitectura de TJX; la base de datos debe estar separada de las
aplicaciones con la finalidad de no estar expuesto.

Implementar Firewalls

 Implementar un firewall a nivel corporativo: contar con un firewall externo e

interno.

Establecer Governance en TI

Definir un de Governace de TI que se enfoque en buscar en la administración el

desempeño a largo plazo. Se definirá los alineamientos estratégicos, la
administración de los riesgos y el valor que se está entregando.
 Establecer Procedimiento de Riesgos

Tener plantillas con este tipo de formato donde se identifiquen los riesgos

b) ¿Cuáles consideran que son los procesos que deberían fortalecerse para evitar
nuevos ataques?

Se debería fortalecer los procesos de TI relacionados a seguridad y administración.

Proceso de monitoreo de redes:

 Trafico de monitoreo
 Monitoreo el acceso a software

Proceso de revisión y verificación de cumplimiento de las normas de

seguridad y de auditoria externa
 Cumplir con los requerimientos y estándares de PCI-DSS. Payment Card
Industry (PCI)
 Revisión continúa de estos requerimientos.

c) Si ustedes fueran Owen Richel, ¿qué acciones tomarían para superar la crisis?

Si se fuera Owen Richel, primero trataríamos de tomar acciones rápidas como

ejecutar 2 cambios importantes:

Implementar la encriptación de la información y seguir los estándares de PCI, así

como no guardar ningún tipo de información la cual no es requerida.

Adicionalmente, asegurar la red con sistemas de monitoreo e implementar firewalls

para evitar los accesos en los sistemas.

Luego se buscaría que la empresa se alinee a 3 bases importantes: Estrategia de la

Organización, Estrategia del Negocio y finalmente la Estrategia de TI.

Por ello se recomienda la implementación de un Plan de Governance de TI, un Plan

de Mitigación de Riesgos y una estrategia bien definida.

Se deben tener procedimientos definidos en el Plan de riesgos para manejarlos ante

un posible ataque cibernético y emplear una Matriz de Responsabilidades con la
finalidad de establecer que funciones tiene cada responsable.

Finalmente se debe comunicar cualquier ataque de seguridad a los empleados de la

empresa y capacitarlos en temas de seguridad informática para evitar los posibles
ataques o pérdida de información.
6. Bibliografía

 http://www.tjx.com/about/tjx_company.html
 http://www.computerworld.com/article/2544306/security0/tjx-data-breach--at-45-
6m-card-numbers--it-s-the-biggest-ever.html
 https://www.cnet.com/news/tjx-says-45-7-million-customer-records-were-
compromised/