La Comisión Federal de Comercio de Estados Unidos impuso una orden a la empresa de hosting por deficiencias en su protección digital que facilitó la comisión de ciberataques entre los años 2019 y 2022, generando afectación en millones de clientes.
La Comisión Federal de Comercio de Estados Unidos (FTC) ha finalizado una orden que obliga a GoDaddy a implementar mejoras significativas en su seguridad digital, luego de que la empresa sufriera varias brechas de datos en los últimos años. El gigante del alojamiento web, con aproximadamente cinco millones de clientes, enfrentó acusaciones de prácticas de seguridad engañosas e inadecuadas que comprometieron los datos de miles de usuarios.
La investigación de la FTC reveló que GoDaddy no contaba con elementos básicos de seguridad como autenticación multifactor (MFA), un sistema adecuado de gestión de actualizaciones de software, monitoreo de amenazas o segmentación de redes. También se identificó la ausencia de herramientas clave como la monitorización de la integridad de archivos y el registro de eventos de seguridad, lo que dejó vulnerables tanto a su infraestructura como a los datos de sus clientes.
Entre las infracciones más graves destacadas por la FTC se encuentra un ataque revelado en febrero de 2023. En ese incidente, actores maliciosos instalaron malware en servidores vulnerados y robaron el código fuente tras acceder a su entorno de alojamiento compartido cPanel, en una intrusión que, según la empresa, duró varios años. GoDaddy descubrió el ataque en diciembre de 2022 luego de recibir reportes de clientes cuyos sitios web redirigían a dominios desconocidos.
Además, la FTC vinculó esta violación a otras brechas de seguridad sufridas por GoDaddy en marzo de 2020 y noviembre de 2021. En esta última, los atacantes usaron una contraseña comprometida para infiltrarse en el entorno de alojamiento, accediendo a datos sensibles como direcciones de correo electrónico, claves SSL privadas, contraseñas de administrador de WordPress y credenciales de SFTP de 1,2 millones de clientes. En el caso de 2020, 28 mil clientes fueron notificados tras detectarse el uso indebido de credenciales para acceder por SSH a sus servidores.
Frente a estos antecedentes, la FTC ha ordenado a GoDaddy dejar de engañar a los usuarios sobre sus medidas de seguridad y establecer un programa de protección robusto. Entre los nuevos requisitos se incluye proteger todas las API con protocolos seguros como HTTPS, mantener un sistema actualizado de software y firmware, y aplicar autenticación multifactor obligatoria para empleados, contratistas y clientes. Esta última debe contar con al menos un método que no dependa del número telefónico, como llaves de seguridad o aplicaciones de autenticación.
La compañía también deberá contratar una firma independiente que audite su programa de seguridad cada dos años y reportar en un plazo máximo de 10 días cualquier incidente en el que datos de clientes hayan sido comprometidos, robados o expuestos.
En respuesta a la orden, GoDaddy aseguró en enero ya había comenzado a implementar varias de las exigencias del acuerdo. “Mejoramos constantemente nuestras capacidades de seguridad y ya hemos implementado varios de los requisitos del acuerdo de conciliación con la FTC. Cabe destacar que la resolución de este asunto no incluye la admisión de culpa ni sanciones monetarias”, declaró un portavoz de la empresa.
GoDaddy también anticipó que el impacto financiero del cumplimiento con las nuevas medidas será mínimo, y reiteró su compromiso con reforzar sus defensas frente a amenazas emergentes. “Planeamos seguir invirtiendo en nuestras defensas para abordar las amenazas en constante evolución y ayudar a mantener seguros a nuestros clientes, sus sitios web y sus datos”, añadieron desde la compañía.