La Comisión Federal de Comercio de Estados Unidos (FTC) ha ordenado al gigante del alojamiento web GoDaddy que implemente medidas básicas de seguridad para resolver los cargos de haber fallado en la protección de sus servicios de alojamiento contra ataques desde 2018. Entre las exigencias se incluyen la adopción obligatoria de la autenticación multifactor (MFA) y el uso de API seguras con HTTPS.
Según la FTC, la empresa con sede en Arizona engañó a millones de clientes al hacer afirmaciones sobre sus prácticas de seguridad, cuando en realidad era “ciega a las vulnerabilidades y amenazas en su entorno de alojamiento” debido a la falta de herramientas y medidas de seguridad estándar.
Falta de seguridad y engaño a los clientes
“Millones de empresas, especialmente pequeños negocios, dependen de proveedores de alojamiento web como GoDaddy para proteger los sitios web en los que ellos y sus clientes confían”, declaró Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. “La FTC está actuando hoy para garantizar que empresas como GoDaddy refuercen sus sistemas de seguridad y protejan a los consumidores de todo el mundo”.
La investigación de la FTC reveló que GoDaddy no aplicó prácticas de seguridad básicas, como el uso obligatorio de MFA, la gestión adecuada de actualizaciones de software, el registro de eventos relacionados con la seguridad, la segmentación de su red, el monitoreo de amenazas y la supervisión de la integridad de archivos.
También se descubrió que la compañía no realizó un inventario y gestión adecuados de sus activos, ni evaluó los riesgos de sus servicios de alojamiento web. Además, no aseguró correctamente las conexiones a servicios que permitían el acceso a datos de los clientes.
Brechas de seguridad recurrentes
Entre 2019 y 2022, estas deficiencias en la seguridad provocaron varias brechas importantes, permitiendo que actores malintencionados accedieran a sitios web y datos de clientes.
En febrero de 2023, GoDaddy informó que atacantes desconocidos robaron código fuente e instalaron malware en servidores comprometidos después de vulnerar su entorno de alojamiento compartido cPanel en una brecha que se prolongó por años. La empresa descubrió esta intrusión en diciembre de 2022 tras recibir quejas de clientes cuyos sitios web estaban siendo redirigidos a dominios desconocidos.
Además, se reveló que incidentes de seguridad reportados en noviembre de 2021 y marzo de 2020 estaban vinculados a la misma campaña de ataques.
El ataque de noviembre de 2021 afectó a 1.2 millones de clientes de Managed WordPress, con los atacantes obteniendo direcciones de correo electrónico, contraseñas de administradores de WordPress, credenciales sFTP y de bases de datos, así como claves privadas SSL de algunos clientes.
En el incidente de marzo de 2020, GoDaddy notificó a 28,000 clientes que un atacante había utilizado sus credenciales de alojamiento web para conectarse vía SSH en octubre de 2019.
Medidas impuestas por la FTC
Como parte del acuerdo de conciliación, la FTC exigirá a GoDaddy establecer un programa de seguridad de la información sólido y le prohíbe engañar a los clientes sobre sus protecciones de seguridad. También deberá contratar a un evaluador independiente que realizará revisiones bienales de su programa de seguridad.
Una de las medidas clave impuestas es la obligatoriedad del uso de MFA para todos los clientes, empleados y contratistas en cualquier herramienta o activo que soporte servicios de alojamiento, incluyendo conexiones a bases de datos. Además, la autenticación multifactor deberá incluir al menos un método que no requiera el uso de un número de teléfono, como aplicaciones de autenticación o claves de seguridad.
GoDaddy responde a las sanciones
Tras la publicación del acuerdo con la FTC, GoDaddy emitió un comunicado en el que aseguró que tiene un “historial de ofrecer productos innovadores a sus clientes de alojamiento web” y que está enfocado en proteger los datos y sitios web de sus clientes.
Según la empresa, ya ha implementado varias de las medidas exigidas en el acuerdo y continuará invirtiendo en seguridad para hacer frente a amenazas en evolución. GoDaddy también enfatizó que el acuerdo con la FTC no implica admisión de culpa ni penalizaciones económicas, y que el impacto financiero de cumplir con los términos del acuerdo será mínimo.
El caso de GoDaddy destaca la importancia de que las empresas de tecnología y alojamiento web implementen medidas de seguridad sólidas para proteger la información de sus clientes. La acción de la FTC subraya la necesidad de que los proveedores de servicios en línea cumplan con estándares de seguridad adecuados y sean transparentes sobre sus prácticas. A medida que las amenazas digitales continúan evolucionando, el refuerzo de la seguridad y el cumplimiento de regulaciones serán aspectos fundamentales para garantizar la confianza de los usuarios en las plataformas digitales.