Okta fue una de las tantas compañías atacadas por los hackers de LAPSUS$ y finalmente ha publicado el reporte definitivo del incidente. La investigación concluyó que el alcance del ciberataque fue aún menor del que se preveía y afectó a apenas dos clientes de los más de 15.000 que tiene en todo el mundo.
Según explicaron, los piratas informáticos "controlaron activamente" el ordenador de un ingeniero de soporte de Sitel, una firma subcontratada para ofrecer servicios de atención al cliente, por solo 25 minutos corridos. En dicho lapso lograron acceso a datos de dos empresas y a "información adicional" en aplicaciones como Slack y Jira; no obstante, nada de eso se podía utilizar para acceder a los controles de Okta.
Y como ya había ocurrido tiempo atrás, la firma ratificó que en ningún momento se realizaron acciones tales como cambios de contraseñas, del sistema de autenticación adicional o de configuraciones. Además, Okta indicó que se comunicó individualmente con ambos clientes para notificarles de esta situación.
"Si bien se ha determinado que el impacto general es significativamente menor de lo que estimamos inicialmente, reconocemos el gran costo que este tipo de compromiso puede tener en nuestros clientes y su confianza en Okta", aseguró David Bradbury, jefe de seguridad de la compañía.
Okta corta lazos con la empresa subcontratada que se encargaba de la atención al cliente
Con el objetivo de despegarse lo más posible del incidente con LAPSUS$, Okta ha tomado distintas medidas. Entre ellas, ha terminado su vínculo con Sitel, la firma que, al fin y al cabo, sufrió el hackeo. La decisión se relaciona con sus nuevos requisitos de seguridad para la gestión del riesgo, que también involucra el fortalecimiento de su procedimiento de auditorías.
Por otra parte, la empresa también anunció una revisión del proceso de comunicación con sus clientes. Y en adelante gestionará directamente los dispositivos de terceros que tengan acceso a sus herramientas de soporte.
No obstante, Okta ha vuelto a pedir disculpas por el mal manejo de la información tras el intento de hackeo. Recordemos que las compañías que utilizan sus servicios no se enteraron del evento sino hasta pasados dos meses del mismo, cuando LAPSUS$ estaba en la cresta de la ola y aseguraba haber tenido acceso total a los sistemas de la compañía durante dos meses.
Tiempo atrás la empresa reconoció que no le dio importancia al incidente porque según los informes iniciales no existía un riesgo real. Sin embargo, no consideró que si la historia se hacía pública podía generar pánico; tengamos en cuenta que miles de compañías y agencias gubernamentales utilizan sus herramientas para gestionar y proteger las credenciales de acceso de sus empleados.
"Los clientes de Okta son nuestro orgullo, propósito y prioridad número 1. Nos duele que, si bien la tecnología de Okta se destacó durante el incidente, nuestros esfuerzos para comunicar los eventos en Sitel no cumplieron con nuestras expectativas ni con las de nuestros clientes", se excusó Bradbury.
Por lo pronto, el caso de Okta fue de los últimos que protagonizó LAPSUS$. Desde entonces el grupo hacker parece haberse llamado a silencio, especialmente tras el arresto de siete personas en el Reino Unido. No olvidemos que la mente maestra detrás de los piratas informáticos habría sido un adolescente de 16 años; e incluso la policía de Londres ya presentó cargos contra dos de los jóvenes que seguían bajo custodia.