Las empresas ocultan cada vez más datos clave para sus clientes tras ciberataques como el de Carrefour
"Es un tema antiguo, ya solucionado y que no ha tenido mayor trascendencia". Es la forma con la que fuentes de Carrefour dan carpetazo al ciberataque sufrido por su filial financiera y rechazan atender las preguntas de este medio sobre qué datos concretos han sido robados o cuántas personas están afectadas. El grupo francés se niega así a compartir información que sí podría resultar trascendente para que las personas cuyos datos han caído en posesión de ciberdelincuentes se protejan de futuros ataques.
“Nos ponemos en contacto contigo para informarte de que hemos sufrido un acceso ilícito a nuestros sistemas. Desde el momento en que tuvimos conocimiento del incidente, pusimos en marcha las medidas necesarias para detenerlo de inmediato, evitar su repetición y resolver el incidente”, comunicó Carrefour a través de una carta a los afectados que llegó en las festividades navideñas.
"En ningún caso están comprometidas tus posiciones o claves de acceso a Servicios Financieros Carrefour, aunque sí se ha accedido a datos personales básicos, de contacto, número de DNI entre otros datos", añadía la empresa francesa sin dar ningún detalle más como, por ejemplo, si "entre otros datos" se incluye también el número de la tarjeta de crédito del grupo con la que los clientes hacen pagos y contratan préstamos.
La información que deben compartir las empresas cuando son víctimas de un ciberataque está regulada por normas europeas. La Agencia Española de Protección de Datos (AEPD) recalca en una guía sobre la cuestión que esta tiene que incluir "como mínimo" una "descripción de los datos e información personal afectados", así como "si se trata de un ciberincidente, ciberataque, envío de datos por error, pérdida de documentación/dispositivo, etc.".
El regulador pide "no omitir detalles relevantes, para que las personas puedan valorar el riesgo de forma adecuada y conforme a sus circunstancias particulares", y recuerda que el propósito de la comunicación es "proteger a las personas ante las consecuencias de una brecha de datos personales".
Fuentes de la AEPD confirman a elDiario.es que Carrefour les ha notificado la brecha y ahora se encuentran analizando su comunicación y lo sucedido, la fase previa a abrir una investigación oficial. En su comunicación con el regulador, la empresa está obligada por ley a proporcionar detalles específicos, como el número de clientes afectados y la duración de la brecha de seguridad, información que actualmente no está divulgando públicamente.
El hecho de que la cadena de distribución francesa quite hierro al ciberataque para luego pedir a sus clientes que estén "atentos en todo momento a las comunicaciones electrónicas, movimientos de cuentas bancarias y a cualquier actividad atípica que pueda guardar relación con tus datos personales” ha indignado a algunos especialistas en ciberseguridad.
"En el sector hay preocupación por la forma en que se ha notificado, sin demasiada transparencia y solicitando revisar cuentas bancarias, nos hace pensar que la intrusión es más grave de lo que en principio se quiere aparentar", apunta Rafa López, experto en ciberseguridad de la firma Perception Point.
"Lo primero es saber qué tipo de datos personales han sido afectados", coincide Sergio Carrasco, abogado especialista en protección de datos y ciberseguridad. "Vale que me digan que ha habido un incidente de seguridad, pero lo más importante es dar una descripción completa porque la percepción del peligro que tiene un usuario cuando le informas de que han robado su teléfono, su dirección, el número de su casa y el nombre de sus hijos cambia totalmente, ya no va a ser la misma", detalla.
La comunicación de los ciberataques ha pasado por varias fases desde que este tipo de incidentes se hicieron habituales. Antes de la aprobación del Reglamento General de Protección de Datos de la UE, muchas empresas trataban de ocultarlos a toda costa para impedir el daño reputacional, una práctica que en muchas ocasiones se terminaba volviendo en contra si el ciberataque salía a la luz por otras vías.
La entrada en vigor del Reglamento en 2018 cambió diametralmente la situación, forzando a las compañías a informar de los ciberataques. Muchas empresas adoptaron la política de ser lo más transparentes posible, una práctica que también resulta muy útil a la comunidad de expertos en ciberseguridad ya que permite seguir el rastro a los ciberdelincuentes y sus tácticas.
Sin embargo, la tendencia vuelve a cambiar y muchas empresas se esfuerzan por comunicar los mínimos detalles posibles. "Muchas veces son demasiado genéricos", expone Carrasco. "El tema está en poder conocer al menos el vector de ataque, aunque haya sido muy sencillo. También las medidas que se han tomado para arreglarlo, en teoría no vale tan solo con decir que se han tomado medidas".
"Una cosa es que hayan cumplido con la obligación que tienen de comunicarlo y otra es que la comunicación esté realmente bien hecha", resume: "Cualquier brecha es un daño de imagen e intentan retorcer el Reglamento para hacer un control de daños".
En este sentido, el caso de Carrefour no está solo. Sin ir más lejos, la información pública sobre uno de los incidentes más graves sufridos por una empresa española, el que obligó a miles de clientes de Air Europa a anular sus tarjetas de crédito el pasado octubre, sigue siendo muy limitada.
En aquella ocasión la compañía aérea notificó por email a los afectados que "un problema de ciberseguridad que habría afectado al entorno de pagos con el que se gestionan las compras a través de la web. Dicha alteración fraudulenta del flujo en el proceso de pago habría permitido la extracción de datos de las tarjetas de crédito".
"Seguimos analizando lo sucedido, como la procedencia del ataque o el uso de la información sustraída", afirmaba. Tres meses después, la compañía también rechaza contestar las preguntas de elDiario.es sobre el incidente. No ha comunicado cuántos clientes quedaron afectados, cómo se produjo la brecha ni cómo la solucionaron.
Tampoco los detalles de cómo se produjo un robo del CVV (código de verificación) de las tarjetas de crédito de sus clientes. Se trata de un dato que las normas de seguridad de los pagos online prohíben a las empresas almacenar. Todos son detalles que debe incluir en su informe a la AEPD pero que prefiere no divulgar públicamente.
"En Air Europa hemos seguido al detalle los pasos requeridos cuando ocurren casos como el acontecido el pasado 10 de octubre. Todos los clientes afectados han sido informados y, a día de hoy, es totalmente seguro realizar compras en nuestra web. En caso de disponer de información extra, nos pondremos en contacto contigo", repite la empresa ante los requerimientos de información de este medio.
La principal motivación de este tipo de robos de información es el interés económico. "Es muy probable que procedan a venderla en el mercado negro, especialmente en la dark web", dice Roberto Lara, director del Centro de Seguridad de la firma BeDisruptive. "Dependiendo de la calidad y cantidad de los datos sustraídos, podrían emplearlos para llevar a cabo fraudes financieros, como compras en línea, transferencias bancarias o incluso la creación de tarjetas de crédito falsas, entre otras prácticas", añade.
Sin embargo, estos incidentes y una mala política de comunicación también va en perjuicio de las propias empresas. "Pueden generar inquietudes emocionales y llevar a los clientes a cuestionar la seguridad de compartir información personal en el futuro", avisa Lara: "Es crucial que las empresas aborden rápidamente estas preocupaciones, proporcionen información transparente y tomen medidas correctivas para restaurar la confianza de sus clientes".