La Comisión Federal de Comercio (FTC, por sus siglas en inglés) ha puesto en el punto de mira a GoDaddy, una de las principales empresas de alojamiento web del mundo, por su historial de fallos de seguridad y varias brechas significativas desde 2018. A pesar de las graves acusaciones, la compañía no enfrentará sanciones económicas inmediatas, pero se le ha ordenado adoptar métodos básicos de seguridad cibernética para proteger a sus clientes.
GoDaddy, conocida por gestionar más de 82 millones de nombres de dominio y ofrecer servicios de alojamiento a millones de clientes, ha sido criticada por la FTC por no implementar medidas de seguridad mínimas. Entre las deficiencias destacadas se encuentran la falta de un sistema de gestión de eventos de seguridad de la información (SIEM, por sus siglas en inglés) y la ausencia de autenticación multifactor (MFA) para proteger los datos sensibles de los usuarios.
El informe de la FTC también acusa a GoDaddy de no aplicar actualizaciones de software de manera oportuna, no gestionar adecuadamente su inventario de hardware y software, y no segmentar su red de manera efectiva para limitar el alcance de posibles ataques. Estos fallos han llevado a varios compromisos de seguridad entre 2019 y 2022, exponiendo los datos de sus clientes y los de los visitantes de sus sitios web.
Las exigencias de la FTC
En lugar de imponer sanciones económicas inmediatas, la FTC ha propuesto un acuerdo que obliga a GoDaddy a implementar un programa integral de seguridad de la información en un plazo de 90 días. Este programa incluye:
- Crear un inventario centralizado de hardware, software y firmware.
- Implementar herramientas automatizadas, como un SIEM, para el análisis en tiempo real de eventos de seguridad.
- Adoptar un sistema de autenticación multifactor para empleados, contratistas y terceros con acceso a servicios sensibles.
- Usar protocolos seguros, como HTTPS, para todas las llamadas API.
- Retener registros de auditoría del sistema para mejorar la supervisión y el análisis.
Además, GoDaddy deberá contratar a un evaluador externo para revisar su programa de seguridad y está prohibida de hacer declaraciones engañosas sobre sus medidas de seguridad.
A pesar de las graves acusaciones, el acuerdo no incluye multas económicas. Sin embargo, si GoDaddy incumple los términos del acuerdo, podría enfrentarse a sanciones civiles de hasta 51,744 dólares por cada violación. Esta decisión ha sido criticada por algunos expertos, quienes consideran que una multa significativa habría sido un incentivo más fuerte para garantizar el cumplimiento.
La respuesta de GoDaddy
Un portavoz de la compañía declaró que GoDaddy ya ha comenzado a implementar varias de las medidas exigidas por la FTC. «Estamos comprometidos con la seguridad de los datos de nuestros clientes y seguimos invirtiendo recursos significativos en tecnología, herramientas y talento para fortalecer nuestras defensas», afirmó. Además, destacó que el acuerdo no incluye admisión de culpa y tendrá un impacto financiero mínimo para la empresa.
Entre 2019 y 2022, GoDaddy sufrió varios ataques significativos que resultaron en el acceso no autorizado a datos de clientes. Según la FTC, estas brechas podrían haberse evitado con medidas de seguridad básicas, pero la compañía no tomó las precauciones necesarias. Esto pone en entredicho las promesas de seguridad que GoDaddy había hecho a sus usuarios, lo que, según la FTC, constituye una representación engañosa.
Las vulnerabilidades permitieron a los atacantes comprometer los sitios web de los clientes, exponiendo datos sensibles y dejando a los usuarios finales en riesgo de sufrir más daños.
GoDaddy, con más de 82 millones de dominios gestionados y más de 20 millones de clientes a nivel mundial, reportó ingresos de 1.148 millones de dólares en el tercer trimestre de 2024, un aumento del 7.28% interanual. Para el año fiscal 2024, proyecta ingresos entre 4.545 y 4.565 millones, reflejando un crecimiento anual del 7% en el punto medio.
