Las filtraciones de datos pueden ser muy perjudiciales para organizaciones de todo tipo y tamaño, pero es la forma en que estas empresas reaccionan ante el incidente lo que puede asestarles el golpe definitivo. Aunque el año pasado vimos algunos ejemplos excelentes de cómo deben responder las empresas a las filtraciones de datos -felicitaciones a Cruz Roja y Amnistía por su transparencia-, 2022 ha sido un año de lecciones sobre cómo no responder a una filtración de datos.
He aquí un repaso a las filtraciones de datos mal gestionadas de este año.
Nvidia
El gigante de la fabricación de chips Nvidia confirmó que estaba investigando un supuesto «incidente cibernético» en febrero, que más tarde confirmó que se trataba de una extorsión de datos.
Mientras Nvidia se mantenía hermética, la ya famosa banda Lapsus$ no tardó en responsabilizarse de la filtración y afirmó haber robado un terabyte de información, incluidos datos «altamente confidenciales» y código fuente patentado. Según el sitio web Have I Been Pwned, los piratas informáticos robaron las credenciales de más de 71.000 empleados de Nvidia, incluidas direcciones de correo electrónico y contraseñas de Windows.
DoorDash
El gigante de la entrega de comida confirmó que los atacantes accedieron a los nombres, direcciones de correo electrónico, direcciones de entrega y números de teléfono de los clientes de DoorDash, junto con información parcial de la tarjeta de pago de un subconjunto más pequeño de usuarios. También confirmó que para los conductores de entrega de DoorDash, o Dashers, los hackers accedieron a datos que «principalmente incluían nombre y número de teléfono o dirección de correo electrónico».
Pero DoorDash se negó a decir cuántos usuarios se vieron afectados por el incidente – o incluso cuántos usuarios tiene actualmente. DoorDash también dijo que la brecha fue causada por un proveedor de terceros.
Samsung
Horas antes del largo día festivo del 4 de julio, Samsung comunicó discretamente que sus sistemas estadounidenses habían sido violados semanas antes y que los piratas informáticos habían robado información personal de sus clientes. En su escueta notificación, Samsung confirmó que también se habían sustraído datos «demográficos» no especificados, que probablemente incluían datos precisos de geolocalización, navegación y otros datos de los teléfonos Samsung y televisores inteligentes de los clientes.
A finales de año, Samsung todavía no ha dicho nada más sobre el pirateo. En lugar de emplear el tiempo en redactar una entrada en su blog en la que dijera cuáles, o incluso cuántos, son los clientes afectados, Samsung utilizó las semanas previas a su revelación para redactar y publicar una nueva política de privacidad obligatoria el mismo día de la revelación de su filtración, que permite a Samsung utilizar la geolocalización precisa de los clientes para publicidad y marketing. Porque esa era la prioridad de Samsung, obviamente.
Revolut
La startup fintech Revolut confirmó en septiembre que había sido víctima de un «ciberataque altamente selectivo», y dijo en ese momento que un «tercero no autorizado» había obtenido acceso a los datos de un pequeño porcentaje (0,16%) de clientes «durante un corto período de tiempo».
Sin embargo, Revolut no quiso decir exactamente cuántos clientes se vieron afectados. Su página web dice que la compañía tiene aproximadamente 20 millones de clientes; el 0,16% se traduciría en unos 32.000 clientes. Sin embargo, según la declaración de Revolut sobre la brecha, la empresa afirma que 50.150 clientes se vieron afectados por la brecha, incluidos 20.687 clientes del Espacio Económico Europeo y 379 ciudadanos lituanos.
La empresa tampoco ha precisado a qué tipo de datos se ha accedido. En un mensaje enviado a los clientes afectados, la empresa dijo que «no se accedió a datos de tarjetas, PIN o contraseñas.» Sin embargo, la revelación de la violación de datos de Revolut afirma que los hackers probablemente accedieron a datos parciales de pago con tarjeta, junto con los nombres, direcciones, direcciones de correo electrónico y números de teléfono de los clientes.
