De las consecuencias del ataque a Zappos y del robo de datos de 24 millones de clientes

La popular cadena de venta de zapatos Zappos, propiedad de Amazon.com, fue hackeada el pasado domingo según nos informa la agencia Reuters. El CEO de la conocida cadena norteamericana, famosa entre otras cosas por haber sido de las primeras en haber aprovechado todo el potencial de la web 2.0, confirmó la noticia enviando primero un e-mail a sus empleados que posteriormente fue publicado en su blog.

En él asegura que los cibercriminales tuvieron acceso a parte de su red interna al haber penetrado desde uno de sus servidores en Kentucky. Se han comprometido los datos de 24 millones de clientes, entre los que figuran nombres, direcciones e-mail, datos de facturación y de envío, números de teléfono y los último cuatro dígitos de sus tarjetas de crédito así como contraseñas de acceso al servicio.

Afortunadamente, la compañía ha confirmado que no han podido acceder a datos críticos de tarjeta de crédito y otros datos de pago. Pero conociendo el mercado negro, es una información que tranquiliza pero que no garantiza que los usuarios estén totalmente a salvo.

No debemos olvidar que en el llamado mercado negro, en el que cada día se realizan miles de transacciones de venta de datos privados, las tarjetas de crédito son solo una parte de la oferta cibercriminal. Datos cuya oferta en el mercado no supera los 2$ por registro, si se trata de una tarjeta de crédito sin saldo asegurado, importe que crece a medida que el cibercriminal es capaz de garantizar un saldo mínimo disponible.

Suponemos que parte motivado por la crisis, y por una estrategia de diversificación de negocio, los cibercriminales ponen a la venta en este circuito todo tipo de información robada, como datos de acceso a sitios de compra online, por ejemplo. O datos personales, como teléfonos y direcciones. Si todo lo que hay detrás de este mercado está enfocado a la obtención del beneficio económico, nos preguntaremos para qué quieren números de teléfono personales y direcciones.

Hace muy poco veíamos en televisión un reportaje que confirmaba lo sencillo que era conseguir el PIN de una tarjeta de crédito. Un ciudadano normal se hacía pasar por un empleado bancario que llamaba a los teléfonos personales de los usuarios, identificándose previamente, y solicitándole el someterse a una simple rutina de seguridad. Tras comprobar la dirección y el nombre, este le preguntaba por la numeración completa de su tarjeta de crédito (completando él algunos dígitos) y a continuación le solicitaba el PIN.

El usuario, feliz de que su banco se tomara tantas molestias por garantizar su seguridad, le daba la información encantado. Y el supuesto «cibercriminal» (falso para la pieza informativa a la que nos referimos), más feliz todavía porque tenía los datos que necesitaba.

Otro riesgo son los llamados ataques dirigidos. Entre 24 millones de usuarios, habrá muchas personas relevantes de la escena social y política, que pudieran ser objetivo de los cibercriminales.

Y no olvidemos el phishing. La mayoría de estos usuarios habrán recibido por correo electrónico (según ha confirmado Zappos en su comunicado) un aviso del suceso y una invitación… ¿a cambiar su contraseña? Es decir, no solo algunos usuarios habrán pensado que es un intento de estafa haciendo caso omiso del aviso, sino que también algún cibercriminal espabilado habrá aprovechado la circunstancia para hacer circular verdadero phishing que busque hacerse con el resto de la información que no ha podido obtener de otra manera.

Alabamos la sinceridad de la compañía reconociendo rápidamente el problema, así como los sistemas de seguridad que tienen implementados y que les ha permitido salvaguardar la información más importante. Pero quizá la lectura que extraemos, al igual que dijimos cuando hablamos del robo de datos a Sony, es que nadie está 100% a salvo de estos cibercriminales.

Yolanda Ruiz

@yolandaruiz