Las compañías de seguros Lexington Insurance Company y Beazley Insurance Company, están demandando a una firma de seguridad informática para recuperar las tarifas de seguros pagadas a Heartland Payment Systems, empresa de manejo de pagos, después de que la firma de seguridad no detectó malware en la red del cliente durante meses, un problema que originó una de las mayores violaciones de seguridad de la primera década del siglo XXI. La firma de seguridad asegura que la demanda es improcedente.
Demanda relacionada con violación de datos de 2009
En enero de 2009, Heartland anunció una importante violación de seguridad de su red, tras lo cual un hacker robó datos de más de 100 millones de tarjeta almacenadas en sus sistemas por más de 650 clientes de la empresa, informan especialistas en borrado seguro de datos del Instituto Internacional de Seguridad Cibernética.
Después de este ataque, Heartland pagó más de 148 millones en honorarios por diversos juicios y otros costos, y gastos de compensación a sus clientes.
Como parte de sus acuerdos de seguro, las dos firmas pagaron 30 millones a Heartland en el período posterior al hack, con Lexington Insurance Company pagando 20 millones y Beazley pagando otros 10 millones.
La demanda reclama a Trustwave
Pero ahora, de acuerdo con una demanda civil presentada el 28 de junio en Illinois, las dos compañías están tratando de recuperar esos costos, y afirman que la empresa de seguridad con la que Heartland tenía un contrato de servicio habría fallado en honrar su acuerdo.
Las dos compañías aseguradoras afirman que Trustwave Holdings, Inc., la firma de seguridad, no detectó el ataque para violar los sistemas de Heartland el 24 de julio de 2007.
Además, las dos aseguradoras afirman que Trustwave tampoco detectó que los atacantes instalaron malware en los servidores de gestión de pagos el 14 de mayo de 2008, y no emitió señales de alarma sobre el evento.
La demanda señala que Trustwave no detectó ningún signo de actividad sospechosa durante las auditorías de seguridad que proporcionó a Heartland durante casi dos años como parte de sus contratos, que también incluyeron pruebas para el cumplimiento y certificación del Estándar de Seguridad de Datos para la Industria de Tarjetas De Pago (PCI DSS).
Informe de Visa parece inculpar a Trustwave
La demanda también menciona que después del hack, Visa realizó una revisión de los servidores de Heartland y descubrió que Trustwave certificó incorrectamente que Heartland cumplía con el PCI DSS, una certificación que todo proveedor debe obtener antes de poder operar con datos de tarjetas de crédito.
La demanda, de acuerdo a expertos en borrado seguro de datos, alega que Visa descubrió que Trustwave ignoró el hecho de que Heartland no ejecutó un firewall, usaba contraseñas provistas por el proveedor, no tenía suficiente protección para el sistema de almacenamiento utilizado para los datos de la tarjeta, no asignó identificación única a cada persona acceder a su sistema y no pudo monitorear los servidores y los datos del titular de la tarjeta de manera regular.
Todas estas son reglas de cumplimiento del PCI DSS, y Visa dijo que a pesar de todos los problemas en la red de Heartland, Trustwave certificó sus sistemas de seguridad. Más tarde, Visa le prohibió a Heartland utilizar Trustwave luego de la atestación errónea.
Acorde a expertos en borrado seguro de datos, en el informe de Visa y otros documentos posteriores a la violación, las dos compañías aseguradoras afirman que Trustwave es culpable por negligencia. Además, la demanda alega que Trustwave también incumple los contratos que firmó con Heartland, para los cuales se suponía que debía proporcionar servicios de seguridad. Las dos compañías de seguros ahora piden reparación daños por al menos 30 milones, a espera de juicio, luego de que Trustwave no haya detectado la intrusión.
Trustwave se lava las manos
En un comunicado, la empresa de seguridad informática afirma que la demanda carece de fundamentos.
“Trustwave entabló una demanda en Delaware contra las aseguradoras Lexington y Beazley en respuesta a su intento injustificado de recuperar los pagos del seguro que hicieron como cobertura por una violación de datos en 2008 en Heartland”, aseguran portavoces de Trustwave. “Las aseguradoras posteriormente presentaron una demanda duplicada en Illinois con respecto al mismo asunto”.
“Trustwave proporcionó a Heartland una evaluación de su cumplimiento con el PCI DSS. Sin embargo, dicha evaluación, como lo aclara el contrato en cuestión, de ninguna manera garantiza que la compañía examinada no haya sido vulnerada”, agregan los voceros.
La empresa ha sido demandada en otras ocasiones
Esta es la tercera vez que Trustwave recibe una demanda similar. Un consorcio bancario demandó a Trustwave en 2014 por su papel en la violación a Target, pero la demanda se abandonó después de unos días cuando se descubrió que Trustwave o era responsable de asegurar los datos de la tarjeta de pago de Target, y por lo tanto, no tenía la culpa.
Trustwave fue demandada por segunda vez en 2016 cuando un operador de casinos alegó que la empresa de seguridad no pudo contener y erradicar una violación a su sistema de pago en 2013. La demanda alega que Trustwave omitió una segunda infracción que más adelante permitió a un estafador robar más de 300 mil datos de tarjetas de pago de los clientes del operador del casino.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad