Clorox está demandando a Cognizant por 380 millones de dólares, alegando que el gigante de servicios de TI entregó las credenciales de inicio de sesión de los empleados a un ciberdelincuente, sin verificar la identidad, lo que provocó un ciberataque devastador que paralizó las operaciones del fabricante de artículos para el hogar de EE. UU.
En una demanda presentada ante un tribunal estadounidense, Clorox alegó que el servicio de atención al cliente de Cognizant violó los protocolos básicos de autenticación, lo que permitió que un atacante vulnerara su red en agosto de 2023. El intruso, haciéndose pasar por un empleado de Clorox, supuestamente solicitó el restablecimiento de su contraseña por teléfono. Según la demanda, el agente de Cognizant omitió las comprobaciones estándar y autorizó el acceso sin verificación adicional.
“El ciberataque resultante fue devastador”, declaró Clorox en el documento. “Paralizó la red corporativa de Clorox y paralizó sus operaciones comerciales”.
La demanda afirma que el ataque causó daños estimados en 380 millones de dólares, incluidos más de 49 millones de dólares en costos de reparación y cientos de millones en ingresos perdidos debido a envíos interrumpidos y estantes vacíos en todos los minoristas.
Clorox y Cognizant tenían un acuerdo desde 2013 que cubría el servicio de asistencia y la gestión de identidades. La denuncia acusa a Cognizant no solo de facilitar la filtración, sino también de gestionar mal las consecuencias. «Cognizant falló en su respuesta y agravó el daño que ya había causado», añadió Clorox.
Según Clorox, el hacker realizó dos llamadas a Cognizant, en ambas ocasiones haciéndose pasar por el mismo empleado. En la segunda llamada, el atacante alegó problemas de acceso a la VPN, lo que provocó que el servicio de asistencia técnica restableciera la contraseña de Okta sin cuestionarla, lo que constituye una violación directa de los protocolos internos de Clorox.
En respuesta, un portavoz de Cognizant, citado en un informe del Times of India, declaró: «Es impactante que una corporación del tamaño de Clorox tuviera un sistema interno de ciberseguridad tan deficiente. Clorox contrató a Cognizant para un alcance limitado de servicios de soporte técnico, que realizamos razonablemente. Cognizant no gestionó la ciberseguridad de Clorox».
El caso ahora enfrenta a una de las marcas de consumo más reconocidas de Estados Unidos contra una de las empresas de TI más grandes de la India, en una batalla de alto riesgo por la responsabilidad en un desastre digital.