Note: This post is available in English
En el último mes ocurrieron dos grandes robos de información que pasaron a la historia: El robo de información de datos personales a Epsilon y a Sony PSN (PlayStation Network).
Epsilon, una empresa de envío masivos de e-mail (on-line Marketing), sufrió un ataque el 1 de Abril donde se extrajeron datos personales (nombres completos, direcciones de e-mail y preferencias) del 2% de sus clientes (representando 2.500 clientes). Esto no parece ser mucho, pero ese porcentaje estaba conformado por 50 empresas altamente reconocidas a nivel mundial, como ser: Ameriprise Financial, Barclay's Bank of Delaware, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, JPMorgan Chase, Marks and Spencer, Marriott y TD Ameritrade entre otros. La cantidad de registros robados no se sabe con exactitud, pero teniendo en cuenta que la empresa envía aproximadamente 40 billones de e-mails por año, la cantidad de registros afectados puede ser más que interesante.
Por el otro lado, tenemos el caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información personal de sus 78 millones de usuarios fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia superando al incidente de Epsilon. Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito.
Ambos incidentes son un excelente caso de estudio de las ramificaciones que pueden ocurrir cuando un ataque tiene éxito. A continuación enumero algunos de los riesgos que están afrontando ó podrían afrontar las empresas previamente mencionadas.
¿Qué riesgos afrontan las compañías ante el robo de información?
En el último mes ocurrieron dos grandes robos de información que pasaron a la historia: El robo de información de datos personales a Epsilon y a Sony PSN (PlayStation Network).
Epsilon, una empresa de envío masivos de e-mail (on-line Marketing), sufrió un ataque el 1 de Abril donde se extrajeron datos personales (nombres completos, direcciones de e-mail y preferencias) del 2% de sus clientes (representando 2.500 clientes). Esto no parece ser mucho, pero ese porcentaje estaba conformado por 50 empresas altamente reconocidas a nivel mundial, como ser: Ameriprise Financial, Barclay's Bank of Delaware, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, JPMorgan Chase, Marks and Spencer, Marriott y TD Ameritrade entre otros. La cantidad de registros robados no se sabe con exactitud, pero teniendo en cuenta que la empresa envía aproximadamente 40 billones de e-mails por año, la cantidad de registros afectados puede ser más que interesante.
Por el otro lado, tenemos el caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información personal de sus 78 millones de usuarios fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia superando al incidente de Epsilon. Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito.
Ambos incidentes son un excelente caso de estudio de las ramificaciones que pueden ocurrir cuando un ataque tiene éxito. A continuación enumero algunos de los riesgos que están afrontando ó podrían afrontar las empresas previamente mencionadas.
¿Qué riesgos afrontan las compañías ante el robo de información?
- Multas por falta de cumplimiento regulatorio: Existen legislaciones nacionales sobre la protección de datos personales que deben cumplir las compañías. A modo de ejemplo, en Argentina rige la Ley Nº 25.326 de Protección de Datos Personales mientras que en EE.UU. tenemos el Privacy Act of 1974 (resguardo de información personal administrada por agencias federales), Gramm-Leach-Bliley Act (sobre datos financieros) y Health Insurance Portability and Accountability Act (HIPAA) de 1996 (datos personales médicos). El robo de información personal puede iniciar una investigación por los entes de control de cada nación (dado que para cada país aplica una regulación local) para verificar si la Compañía estaba ó no en cumplimiento con la regulación y en caso que no lo esté, aplicar multas acorde.
- Acciones legales de terceros afectados: Los terceros afectados, como ser los usuarios de Sony PSN ya se encuentran presentando demandas contra la compañía por negligencia. En el caso de los clientes de Epsilon afectados, podrían iniciar una demanda a la Compañía por los daños y perjuicios causados por el incidente (recordemos que en el caso Epsilon, los afectados fueron empresas clientes de ésta y sus clientes finales)
- Daños colaterales: En el caso de Sony PSN, se estima que el robo de información de las tarjetas de crédito les podría costar alrededor de 300 millones de dólares reemplazar las tarjetas (costo que Sony confirmó que se hará cargo). En el caso de Epsilon, cada cliente de la misma se podría ver afectado en 5.5 millones de dólares por demandas, acuerdos, pérdidas de clientes, etc.
- Investigaciones Gubernamentales: en ambos casos, el Gobierno de EE.UU. inició una investigación contra las Compañías. En el caso de Sony PSN, los Gobiernos de EE.UU., Inglaterra y Hong Kong se encuentran investigando el hecho. La cámara de diputados (House of Representatives) de EE.UU. exigió explicaciones sobre el incidente y las medidas que ésta va a tomar para proteger a los usuarios afectados. En el caso Epsilon, se le solicitó al Fiscal General de EE.UU. que investigue las responsabilidades civiles y penales de la compañía por el robo de información.
- Efectos financieros: Ambas compañías sufrieron una baja en sus acciones entre los 2 y 5 puntos porcentuales. Adicionalmente, se estimó que el ataque a Sony le costará a la Compañía 24 billones de dólares mientras que a Epsilon 4 billones de dólares.
- Pérdida de imagen y confianza: Sin dudas que ambas Compañías sufrieron una pérdida de imagen importante. Aún así, Sony es la más afectada por la forma en que manejo el incidente y el impacto que tuvo sobre la disponibilidad del servicio (recordemos que la red PSN sigue inactiva). Lo que más afecto a Sony fue la pérdida de confianza de sus usuarios: por más que éstos solo quieren que vuelva la red PSN para poder jugar, afirman que no volverán a poner sus datos personales en servidores de Sony. En lo que respecta a Epsilon, se sabe que parte del costo esperado del ataque incluye la pérdida de esperada de clientes.
- Venta de la información: Los datos extraídos pueden ser vendidos a la competencia de las respectivas compañías, resultando en futuras pérdidas.
¿Qué riesgos afrontan los usuarios afectados por el robo de información?
- Ataques de Phishing y/o Spear-Phishing: La información obtenida del robo de datos a Epsilon ya fue utilizada en ataques de Phishing y se estima que esto es solo el principio. Lo mismo podría suceder con los datos extraídos de Sony.
- Robo de identidad: Con los datos extraídos de Sony se podría llegar a concretar el robo de identidad de los usuarios de la red PSN. Por más que en el caso de los datos robados no incluían el número de seguridad social (equivalente al CUIL ó DNI en Argentina) aún así podría efectuarse el Robo de Identidad ó realizar otro ataque de ingeniería social para obtener los datos faltantes.
- Uso de la información para acceder a aplicaciones on-line: Los datos obtenidos tanto de Sony como de Epsilon podrían utilizarse por los atacantes para intentar acceder a aplicaciones on-line, como ser e-bay, gmail, amazon, paypal, etc. ¿Por qué? Dado que la mayoría de las personas utiliza el mismo e-mail y hasta la misma contraseña como credenciales de acceso a todas las aplicaciones on-line que utiliza, los atacantes pueden intentar acceder a dichas aplicaciones hasta lograrlo. Incluso, con la información extraída les sería más fácil adivinar una contraseña.
- Duplicación de tarjetas: En el caso de Sony, donde se obtuvieron números de tarjetas de crédito, se pidió a los clientes afectados que revisen en forma periódica los resúmenes de dichas tarjetas ó que las reemplacen. Esto es debido a que los atacantes podrían utilizar dichos números para realizar transacciones on-line ó duplicar tarjetas. Sin embargo, la probabilidad de que esto suceda es bajo dado que las mismas se encontraban cifradas y sin el código de seguridad (según Sony).
¿Por qué la Seguridad de la Información recae sobre la Alta Gerencia de las Compañías?
La alta gerencia es responsable de conocer todos los riesgos que podrían llegar a afectar la misión de la Compañía. Esto implica detectar aquellos que puedan causar la pérdida de confidencialidad, integridad y disponibilidad de la información y/o los sistemas que ésta posee para brindar sus servicios. La Compañía debe realizar un análisis de riesgos exhaustivo para determinar los mismos, cuantificarlos y priorizarlos. Esto se conoce como Due Diligence .
Una vez que la gerencia conoce todos los riesgos que pueden afectar la misión de la Compañía, deben implementar medidas para mitigar los mismos. Esto se conoce como Due Care.
Si no toman estas medidas, en el caso de un ataque (como ser el que le sucedió a Sony y Epsilon) podrían llegar a ser encontrados como negligentes por no haber tomado todos los recaudos necesarios para prevenir el mismo.
Por Agustin Chernitsky
No comments:
Post a Comment