La reciente interrupción de Garmin reveló enormes agujeros en su seguridad y comunicación
Leva
La semana pasada, Gamin sufrió una interrupción masiva que no solo impidió que sus atletas multideportivos subieran actividades a sus servidores, sino que también dejó fuera de servicio su centro de llamadas, su sistema de correo electrónico, el chat en línea e incluso su servicio de aviación flyGarmin. Se rumorea que la interrupción se debió a un ataque de ransomware, pero Garmin tardó cinco días en reconocer que efectivamente se trataba de un ataque cibernético.
Cuando comenzó la interrupción en la mañana del 23 de julio, los usuarios de Garmin Connect fueron recibidos con un “Lo sentimos, estamos fuera de servicio por mantenimiento. Vuelva a consultar en breve." cuando intenta acceder al servicio en línea o a través de las aplicaciones móviles de Connect. La cuenta oficial de Garmin también tuiteó un mensaje vago y básicamente inútil:
Después de eso, otro tweet genérico de "lo sentimos", junto con unas breves preguntas frecuentes el 25 de julio:
En general, no es mucho para continuar, y es un mal lugar para estar si eres un usuario de Garmin, especialmente porque la compañía fue igualmente vaga durante los siguientes cuatro días.
¿Entonces qué pasó?
Ah, esa es la pregunta del millón, ¿no? La verdad es que todavía no estamos seguros. Hay muchas especulaciones y rumores circulando por ahí, y la fuente más creíble (pero no confirmada) proviene de ZDnet. Según el escritor Catalin Cimpanu, Garmin se vio afectado por un ataque de ransomware llamado WastedLocker.
Otras fuentes afirman que una vez que se descubrió el ataque, Garmin les dijo a todos los empleados, que parecen estar trabajando de forma remota debido a la pandemia de COVID-19, que apagaran todos los sistemas, incluidos los servidores de la empresa (razón por la cual el centro de llamadas, correo electrónico y los servicios de chat también estaban caídos). Esto fue en un esfuerzo por evitar que los piratas informáticos secuestraran los servidores y cifraran más datos, lo que también cerró efectivamente a Garmin de su propio sistema.
Continuaron surgiendo informes sobre la interrupción de cinco días, muchos afirmando que el ataque provino del grupo de piratas informáticos ruso Evil Corp con una demanda de $ 10 millones de dólares estadounidenses. Pero eso tampoco está confirmado.
Finalmente, el 27 de julio, Garmin reconoció oficialmente la causa de la interrupción, afirmando que fue “víctima de un ciberataque que cifró algunos de nuestros sistemas el 23 de julio de 2020". Los detalles aún son mucho más escasos de lo que creo que merecen los clientes, pero eso parece respaldar al menos un poco los rumores de "ransomware".
Garmin espera que los usuarios confíen en él con una gran cantidad de datos: salud, ubicación, contactos, seguimiento y mucho más. La falta de transparencia de la empresa debería hacer que todos los usuarios de Garmin se sientan incómodos por continuar con su relación.
Lo que Garmin hizo bien
Leva
Si bien es cierto que no estoy contento con la forma en que Garmin ha manejado la situación, vale la pena mencionar que algunas cosas se manejaron al menos un poco bien.
Para empezar, tan pronto como se dio cuenta de que algo no estaba bien, Garmin apagó sus sistemas. Según los rumores, estamos hablando de cualquiera que tuviera acceso remoto al sistema, así como a todos los servidores. Es por eso que la sincronización no funcionó: no había nada con lo que sincronizar.
Ese primer paso fue crucial para proteger los datos de los usuarios, ya que Garmin eliminó físicamente el acceso a cualquier servidor que aún no hubiera sido afectado o secuestrado por el ataque.
Sin embargo, más allá de eso, no hay muchos elogios para Garmin sobre cómo manejó la situación.
Donde Garmin dejó caer la pelota
Si hay algo que debe entender una empresa que tiene tus datos privados y/o personales es la transparencia. Si algo sale mal, informe a los usuarios. Tenemos derecho a saber qué sucede con nuestros datos, o incluso qué podría sucederles potencialmente, en una situación como esta.
Claro, Garmin incluyó una declaración vaga en sus Preguntas frecuentes sobre interrupciones:
¿Se vieron afectados mis datos como resultado de la interrupción?
Garmin no tiene indicios de que esta interrupción haya afectado sus datos, incluida la actividad, el pago u otra información personal.
Supongo que eso es algo, pero no es suficiente. Veamos algunos casos en los que las empresas hicieron todo lo posible para que sus usuarios supieran lo que estaba sucediendo mientras sucedía.
En diciembre pasado, Wyze experimentó una violación de datos en un servidor de prueba. Esto fue culpa de la empresa, y se reconoció claramente. Wyze hizo todo lo posible para indicar de manera clara y explícita lo que sucedió, cómo sucedió y qué datos quedaron expuestos. Toda la situación fue mala, pero la forma en que Wyze la manejó fue ejemplar.
Otro ejemplo es el reciente hackeo de Twitter. Si bien todo el asunto solo puede describirse como un desastre, Twitter hizo un buen trabajo al comunicar lo que estaba sucediendo y luego siguió con más detalles a medida que estaban disponibles.
Leva
Y ahí es donde Garmin arruinó todo: han pasado días desde que el servicio se eliminó originalmente. Después de aproximadamente cinco días, el servicio comenzó a volver a funcionar lentamente recientemente. Y la declaración de Garmin es un elegante baile de palabras sin una explicación real aparte de "hubo un ataque cibernético".
Demonios, Garmin ni siquiera se molestó en enviar correos electrónicos a los clientes sobre la interrupción; aparte de la vaga comunicación a través de Twitter, la compañía no hizo absolutamente nada para asegurarse de que los clientes supieran lo que estaba sucediendo. Eso apesta porque si no sabías dónde buscar, estabas afuera en el frío. O peor aún, leer especulaciones y rumores potencialmente incorrectos de fuentes sin fundamento en sitios web aleatorios.
¿Qué va a hacer Garmin al respecto?
No hay información sobre lo que realmente sucedió. Si de hecho fue un ataque de ransomware, ¿Pagó Garmin el rescate para que se devolvieran los datos secuestrados? Si no, ¿cómo se manejó la situación? ¿Qué medidas se tomarán para prevenir este tipo de situaciones en el futuro?
Ese último bit es un detalle crucial. Cada vez que una empresa es objeto de una violación de datos, debe informar a sus clientes qué va a hacer para evitar este tipo de ataque en el futuro. Pero Garmin no dijo una palabra sobre lo que va a hacer. No tenemos forma de saber si la empresa va a cambiar algo. ¿Más capacitación para los empleados? ¿Una consulta de seguridad de una empresa de renombre? ¿Nada en absoluto? Quién sabe.
Esas son todas las cosas que los clientes de Garmin merecen saber. Confiamos en ellos para mantener nuestros datos seguros, y merecemos conocer todos los detalles cuando algo sucede.
Pero bueno, al menos se aseguraron de incluir este montón de basura al final del comunicado de prensa:
Diseñados en el interior para la vida en el exterior, los productos de Garmin han revolucionado los estilos de vida de la aviación, la automoción, el fitness, la navegación y el aire libre. Dedicado a ayudar a las personas a aprovechar al máximo el tiempo que dedican a sus pasiones, Garmin cree que cada día es una oportunidad para innovar y una oportunidad para superar el ayer.
No sé cómo te hace sentir eso, pero como cliente de Garmin desde hace mucho tiempo, esto me parece una bofetada. Este no es el momento para un argumento de venta.
Tengo una idea, Garmin: ¿qué tal si vences a ayer mejorando tu seguridad y comunicación?
¿Entonces que puedes hacer?
Muchas partes de Garmin Connect aún no se cargan correctamente. Leva
Esa es la peor parte de un escenario como este: eres casi incapaz de hacer nada. No puedes obligar a Garmin a que revele lo que pasó o lo que va a hacer para evitar que vuelva a pasar.
Pero puedes hacer lo que tan a menudo se recomienda en situaciones como esta: votar con tu billetera. Mover a una nueva plataforma. Elimine sus datos de Garmin y muévase a algo con suerte más confiable o confiable. Hay muchas otras empresas, como Wahoo, Polar, Hammerhead y más, que fabrican productos que compiten con Garmin.
El mayor problema aquí es que ninguna de esas compañías competidoras ha lidiado con una situación similar que se me ocurra. Eso significa que no tenemos idea de cuáles realmente lo manejarían mejor.
Supongo que el tiempo lo dirá.