Yum!, la organización matriz de KFC y Pizza Hut con sede en EE. UU., ha escrito a varios empleados cuyos datos fueron robados por la pandilla de ransomware no revelada que atacó sus sistemas en enero de 2023, lo que resultó en el cierre temporal de 300 puntos de venta en el Reino Unido.
Al detectar el incidente inicial, los protocolos de respuesta planificados de la organización entraron en acción. ¡mmm! implementó medidas de contención para evitar más daños y desconectó los sistemas afectados, implementó un monitoreo mejorado, contrató a un especialista forense cibernético externo y notificó a la policía de EE. UU.
La organización dijo en ese momento que sabía que se habían tomado datos de su red, pero dijo que no había evidencia de que se robaran las bases de datos de los clientes.
En un nuevo comunicado proporcionado a computadora pitido, un ¡mmm! El portavoz dijo que durante el curso de la investigación de la organización se identificó que se expuso cierta información personal relacionada con los empleados. Dijeron que la compañía todavía estaba en proceso de enviar notificaciones individuales y que ofrecería servicios de monitoreo y protección complementarios.
El portavoz agregó que la investigación aún no había arrojado evidencia de que los datos de los clientes estuvieran expuestos.
En la carta, fechada el 6 de abril, Yum! dijo que los datos expuestos incluían nombres e identificadores personales vinculados a licencias de conducir y otras formas de identificación personal.
Agregó que no ha encontrado ninguna evidencia de fraude o robo de identidad vinculado a estos datos, pero sin embargo, a los afectados se les ofrecen dos años de servicios de monitoreo de crédito y protección de identidad a través de IDX.
Impacto en el Reino Unido poco claro
A pesar de que el incidente inicial tuvo un impacto en todo el Reino Unido, lo que provocó que los restaurantes de todo el país no pudieran comerciar, la carta modelo relaciona a los empleados estadounidenses de la organización.
Computer Weekly contactó a Yum! tratando de establecer el alcance de cualquier impacto en los empleados del Reino Unido, pero la organización no había respondido al momento de escribir este artículo.
La Oficina del Comisionado de Información (ICO) dijo que no había sido notificado de un incidente. Según la ley del Reino Unido, las organizaciones deben notificarlo dentro de las 72 horas posteriores a la toma de conocimiento de una violación de datos personales, a menos que dicha violación no represente un riesgo para los derechos o libertades de las personas. Si una organización decide no denunciar una infracción, debe mantener un registro de la misma y estar preparada para explicar por qué no se informó.
En su informe anual 2022, presentado a principios de abril, Yum! reconoció que el incidente tuvo un impacto significativo en su negocio. Decía: “Hemos incurrido, y podemos seguir incurriendo, en ciertos gastos relacionados con este ataque, incluidos los gastos para responder, remediar e investigar este asunto.
“Seguimos sujetos a riesgos e incertidumbres como resultado del incidente, incluso como resultado de los datos que se tomaron de la red de la empresa”.
Jon Miller, CEO del especialista en anti-ransomware Halcyon, dijo que la brecha de tres meses entre el incidente inicial y la divulgación de la infracción no debería ser una sorpresa, dado el tiempo que lleva completar tales investigaciones, particularmente para las empresas públicas reguladas.
“Uno pensaría que, dada la forma en que los ataques de ransomware están diseñados para revelarse a la víctima, a diferencia de otros ataques, la divulgación de los detalles se produciría rápidamente. Ese no es necesariamente el caso con estos ataques que no solo entregan ransomware sino que también son operaciones furtivas de exfiltración de datos”, explicó.
“Hasta el momento en que se entrega la carga útil del ransomware, hay poca diferencia entre estas operaciones de ransomware ciberdelincuente y los ataques de espionaje corporativos o gubernamentales. Estas son operaciones complejas de múltiples etapas que a menudo involucran a múltiples actores de amenazas.
“Su objetivo, al igual que el de sus contrapartes centradas en el espionaje, están decididos a ser lo más silenciosos posible mientras se infiltran en la mayor parte de la red objetivo y filtran la mayor cantidad de datos confidenciales que pueden y luego los aprovechan para una mayor demanda de rescate”, dijo. Molinero.
“En la mayoría de los aspectos, la única diferencia entre una operación de espionaje corporativo y un ataque de ransomware es que, en este último, los atacantes planean revelar el ataque a la víctima a tiempo”.