Wednesday, April 6, 2011

Robo de datos a Epsilon

Note: This post is available in English.


El 30 de Marzo, la empresa de marketing on-line Epsilon, fue víctima de un ataque que comprometió los datos del 2% de sus clientes. La Compañía notificó el 1ro de Abril a sus clientes por medio de un comunicado donde informaban que “Un incidente fue detectado el 30 de Marzo, donde los datos de un grupo de clientes de Epsilon fueron comprometidos por un acceso no autorizado a los sistemas de correo de la Compañía. La información obtenida fue limitada a direcciones de correo y/o nombres de clientes.”. Información sobre cómo fue realizado el ataque no fue mencionada aún por la Compañía.
Algunos de los clientes de Epsilon afectados hasta el momento son: 1-800-FLOWERS, AbeBooks, Air Miles (Canada), Ameriprise Financial, Barclay's Bank of Delaware, Beachbody, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, Hilton Honors program, Home Depot Credit Card, Home Shopping Network, JPMorgan Chase, Marks and Spencer, Marriott, McKinsey Quarterly, Target, TD Ameritrade, TiVo, US Bank y Walgreen's.
Los clientes de Epsilon notificaron a sus propios clientes sobre la información comprometida, recordándoles que nunca se les será solicitado por correo electrónico información personal. A modo de ejemplo, AbeBooks envió el siguiente correo a sus clientes “… les recordamos que AbeBooks nunca le preguntará a sus clientes por información personal ó de su cuenta por medio de un correo. Tengan precaución si reciben un correo que les solicita este tipo de información ó los invita a visitar un sitio web donde su información personal les es solicitada”.
¿Cuáles son los riesgos que implica este ataque? Los atacantes tienen información más precisa sobre los nombres, correos y preferencias (hoteles, bancos, etc.), aumentando de esta manera las probabilidades  de éxito de un ataque del tipo de Ingeniería Social (ej. Phishing) dirigida a una o varias personas. Por este motivo, es probable que veamos más casos de Phishing en los próximos meses. Por este motivo los clientes de Epsilon le deben notificar a sus propios clientes sobre el incidente y elevar el nivel de conciencia sobre este tipo de ataques.



Por otro lado, Alliance Data, la Compañía Matriz de Epsilon, reafirmó ayer el ataque  y el robo de datos sufrido por su subsidiaria. En su anuncio, confirmaron que “información personal, como números de seguridad social, tarjetas de crédito ó información de clientes no fueron comprometidas. Epsilon se encuentra trabajando con las autoridades y expertos externos para realizar una investigación con el fin de identificar a los culpables del incidente mientras se implementan protocolos de seguridad adicionales en sus operaciones de correo”. Es sabido que el FBI se encuentra trabajando en el caso.

Alliance Data, en su anuncio también establece que el mayor riesgo para ésta y Epsilon es la pérdida potencial de clientes. Estos son los riesgos corporativos que realmente afronta una compañía al no implementar los controles correspondientes. No es solo el valor del activo que fue afectado, sino los costos indirectos que estos atraen, como ser pérdida de imagen y ventas entre otras.
Por Agustin Chernitsky

No comments:

Post a Comment