Las filtraciones de datos pueden ser muy perjudiciales para organizaciones de todo tipo y tamaño, pero es la forma en que estas empresas reaccionan ante el incidente lo que puede asestarles el golpe definitivo. Aunque el año pasado vimos algunos ejemplos excelentes de cómo deben responder las empresas a las filtraciones de datos -felicitaciones a Cruz Roja y Amnistía por su transparencia-, 2022 ha sido un año de lecciones sobre cómo no responder a una filtración de datos.
He aquí un repaso a las filtraciones de datos mal gestionadas de este año.
Nvidia
El gigante de la fabricación de chips Nvidia confirmó que estaba investigando un supuesto «incidente cibernético» en febrero, que más tarde confirmó que se trataba de una extorsión de datos. La compañía se negó a decir mucho más sobre el incidente y, cuando se le presionó, declinó decir cómo se vio comprometida, qué datos fueron robados o cuántos clientes o empleados se vieron afectados.
Mientras Nvidia se mantenía hermética, la ya famosa banda Lapsus$ asumió rápidamente la responsabilidad de la filtración y afirmó que había robado un terabyte de información, incluidos datos «altamente confidenciales» y código fuente patentado. Según el sitio web Have I Been Pwned, los piratas informáticos robaron las credenciales de más de 71.000 empleados de Nvidia, incluidas direcciones de correo electrónico y contraseñas de Windows.
DoorDash
En agosto, DoorDash se dirigió a TechCrunch con una oferta para informar en exclusiva sobre una violación de datos que expuso los datos personales de los clientes de DoorDash. No sólo es inusual que se ofrezca la noticia de una violación no revelada antes de que se anuncie, sino que fue aún más extraño que la empresa se negara a responder a casi todas las preguntas sobre la noticia que quería que desvelar.
El gigante de la entrega de comida confirmó que los atacantes accedieron a los nombres, direcciones de correo electrónico, direcciones de entrega y números de teléfono de los clientes de DoorDash, junto con información parcial de la tarjeta de pago de un subconjunto más pequeño de usuarios. También confirmó que para los conductores de entrega de DoorDash, o Dashers, los hackers accedieron a datos que «principalmente incluían nombre y número de teléfono o dirección de correo electrónico».
Pero DoorDash se negó a decir cuántos usuarios se vieron afectados por el incidente – o incluso cuántos usuarios tiene actualmente. DoorDash también dijo que la brecha fue causada por un proveedor de terceros, pero se negó a nombrar al proveedor cuando se le preguntó, ni diría cuándo descubrió que estaba comprometido.
Samsung
Horas antes del largo día festivo del 4 de julio, Samsung comunicó discretamente que sus sistemas estadounidenses habían sido violados semanas antes y que los piratas informáticos habían robado información personal de sus clientes. En su escueta notificación, Samsung confirmó que también se habían sustraído datos «demográficos» no especificados, que probablemente incluían datos precisos de geolocalización, navegación y otros datos de los teléfonos Samsung y televisores inteligentes de los clientes.
A finales de año, Samsung todavía no ha dicho nada más sobre el pirateo. En lugar de emplear el tiempo en redactar una entrada en su blog en la que dijera cuáles, o incluso cuántos, son los clientes afectados, Samsung utilizó las semanas previas a su revelación para redactar y publicar una nueva política de privacidad obligatoria el mismo día de la revelación de su filtración, que permite a Samsung utilizar la geolocalización precisa de los clientes para publicidad y marketing.
Porque esa era la prioridad de Samsung, obviamente.
Revolut
La startup fintech Revolut confirmó en septiembre que había sido víctima de un «ciberataque altamente selectivo», y dijo en ese momento que un «tercero no autorizado» había obtenido acceso a los datos de un pequeño porcentaje (0,16%) de clientes «durante un corto período de tiempo».
Sin embargo, Revolut no quiso decir exactamente cuántos clientes se vieron afectados. Su página web dice que la compañía tiene aproximadamente 20 millones de clientes; el 0,16% se traduciría en unos 32.000 clientes. Sin embargo, según la declaración de Revolut sobre la brecha, la empresa afirma que 50.150 clientes se vieron afectados por la brecha, incluidos 20.687 clientes del Espacio Económico Europeo y 379 ciudadanos lituanos.
La empresa tampoco ha precisado a qué tipo de datos se ha accedido. En un mensaje enviado a los clientes afectados, la empresa dijo que «no se accedió a datos de tarjetas, PIN o contraseñas.» Sin embargo, la revelación de la violación de datos de Revolut afirma que los hackers probablemente accedieron a datos parciales de pago con tarjeta, junto con los nombres, direcciones, direcciones de correo electrónico y números de teléfono de los clientes.
Advanced, proveedor del NHS
Advanced, proveedor de servicios informáticos del Servicio Nacional de Salud británico, confirmó en octubre que los atacantes habían robado datos de sus sistemas durante un ataque de ransomware en agosto. El incidente dejó fuera de servicio varios servicios de la organización, entre ellos su sistema de gestión de pacientes Adastra, que ayuda a los gestores de llamadas no urgentes a enviar ambulancias y a los médicos a acceder a los historiales de los pacientes, y Carenotes, utilizado por los centros de salud mental para obtener información sobre los pacientes.
Aunque Advanced informó de que sus equipos de respuesta a incidentes -Microsoft y Mandiant- habían identificado LockBit 3.0 como el malware utilizado en el ataque, la empresa se negó a decir si se había accedido a datos de pacientes. La empresa admitió que «algunos datos» pertenecientes a más de una docena de organismos del NHS fueron «copiados y filtrados», pero se negó a decir cuántos pacientes se vieron potencialmente afectados o qué tipo de datos fueron robados.
Advanced dijo que «no hay pruebas» que sugieran que los datos en cuestión existen en otro lugar fuera de nuestro control y «la probabilidad de daño a los individuos es baja.» Al ser contactado, el director de operaciones de Advanced, Simon Short, declinó decir si los datos de los pacientes están afectados o si Advanced tiene los medios técnicos, como registros, para detectar si los datos fueron exfiltrados.
Twilio
En octubre, el gigante estadounidense de la mensajería Twilio confirmó que había sufrido una segunda brecha que permitió a los ciberdelincuentes acceder a la información de contacto de sus clientes. La noticia fue llevada a cabo por los mismos hackers «0ktapus» que comprometieron Twilio en agosto, fue enterrada en una actualización de un largo informe de incidentes y contenía pocos detalles sobre la naturaleza de la brecha y el impacto en los clientes.
La portavoz de Twilio, Laurelle Remzi, declinó confirmar el número de clientes afectados por la brecha de junio o compartir una copia de la notificación que la empresa afirma haber enviado a los afectados. Remzi tampoco quiso explicar por qué Twilio tardó cuatro meses en hacer público el incidente.
Rackspace
El gigante de la computación en nube para empresas Rackspace sufrió un ataque de ransomware el 2 de diciembre, que dejó a miles de clientes de todo el mundo sin acceso a sus datos, incluidos correos electrónicos, contactos y calendarios archivados. Rackspace recibió críticas generalizadas por su respuesta, ya que apenas dijo nada sobre el incidente ni sobre sus esfuerzos para restaurar los datos.
En una de las primeras actualizaciones de la empresa, publicada el 6 de diciembre, Rackspace dijo que aún no había determinado «qué datos se vieron afectados, si es que se vio afectado alguno», y añadió que si la información sensible se vio afectada, «notificaría a los clientes según corresponda.» Ahora estamos a finales de diciembre y los clientes están a oscuras sobre si su información sensible fue robada.
LastPass
Y por último, pero no por ello menos importante: LastPass, el asediado gigante de los gestores de contraseñas, confirmó tres días antes de Navidad que unos piratas informáticos habían robado las llaves de su reino y sustraído las contraseñas cifradas de sus clientes semanas antes. La brecha no puede ser más perjudicial para los 33 millones de clientes de LastPass, cuyas cajas fuertes de contraseñas cifradas son tan seguras como las contraseñas maestras de los clientes utilizadas para bloquearlas.
Sin embargo, la gestión de la brecha por parte de LastPass suscitó una rápida reprimenda y feroces críticas por parte de la comunidad de seguridad, entre otras cosas porque LastPass afirmó que no había ninguna medida que los clientes pudieran tomar. Sin embargo, según una lectura analizada de su aviso de violación de datos, LastPass sabía que las contraseñas cifradas de los clientes podrían haber sido robadas ya en noviembre, después de que la empresa confirmara que se había accedido a su almacenamiento en la nube utilizando un conjunto de claves de almacenamiento en la nube de empleados robadas durante una violación anterior en agosto, pero que la empresa no había revocado.
LastPass tiene toda la culpa de la filtración, pero su gestión fue atrozmente incorrecta. ¿Sobrevivirá la empresa? Puede que sí. Pero con su atroz gestión de la filtración de datos, LastPass ha sellado su reputación.