La empresa multinacional de productos de limpieza acusa a su antiguo proveedor de servicios TI, Cognizant, de facilitar el acceso de atacantes a su red, lo que provocó daños operativos millonarios y una caída sostenida de sus ventas hace dos años.
La multinacional estadounidense Clorox presentó una demanda contra la empresa de servicios tecnológicos Cognizant, a la que acusa de negligencia grave por su rol en un ciberataque que afectó gravemente sus operaciones en agosto de 2023. El incidente, que obligó a paralizar procesos de manufactura, afectó la cadena de suministro y redujo sustancialmente la disponibilidad de productos en el mercado, causando pérdidas que la compañía cifra en $380 millones de dólares.
La acción legal, interpuesta ante la Corte Superior de California este martes 22 de julio de 2025, señala que empleados del servicio de asistencia técnica de Cognizant entregaron credenciales sensibles a un cibercriminal que se hizo pasar por personal de Clorox. Las grabaciones telefónicas presentadas en la demanda evidencian que, en varias ocasiones, los operadores de Cognizant restablecieron contraseñas y sistemas de autenticación de múltiples empleados sin realizar ninguna verificación de identidad.
“Cognizant no solo falló en su deber, entregó directamente las llaves del sistema corporativo de Clorox a un grupo cibercriminal”, afirmó Mary Rose Alexander, abogada externa de Clorox, agregando que la actuación del proveedor ignoró los protocolos establecidos por la empresa y violó los estándares básicos de ciberseguridad.
El grupo atacante, que aún no ha sido identificado públicamente, habría empleado tácticas de ingeniería social para engañar a los operadores del servicio técnico. Según los documentos judiciales, los atacantes solicitaron acceso a las cuentas Okta y a la autenticación multifactor de empleados clave, incluyendo a uno del área de seguridad informática, sin que se les pidiera comprobar su identidad en ningún momento.
El resultado fue un ataque devastador que obligó a Clorox a interrumpir su red corporativa, operar manualmente durante semanas y enfrentar una caída del 6% en su volumen de ventas. Los costos directos de recuperación, incluidos consultores, expertos forenses e inversión en infraestructura IT, ascendieron a 49 millones de dólares, además de la significativa afectación reputacional y una escases de productos esenciales de limpieza en supermercados en diferentes mercados.
Cognizant, por su parte, ha negado toda responsabilidad en el incidente. En declaraciones a medios especializados, un portavoz de la compañía aseguró que su rol se limitaba a la asistencia técnica y no incluía la gestión de la ciberseguridad interna de Clorox. “Es sorprendente que una empresa del tamaño de Clorox tuviera un sistema de ciberseguridad tan deficiente para mitigar este tipo de ataque”, afirmó.
La relación contractual entre ambas compañías se remonta a 2013, cuando Clorox delegó en Cognizant la operación de su mesa de ayuda informática. Aunque la empresa aseguraba mantener protocolos claros para la validación de identidad, la demanda sostiene que estos fueron sistemáticamente ignorados por el personal del proveedor, incluso tras su actualización en enero de 2023.
Clorox busca una compensación económica por los daños sufridos, incluyendo 380 millones de dólares en pérdidas comerciales y una suma adicional por concepto de perjuicios punitivos.