Comunicado de Inseguridad

Esta mañana he recibido un correo nuevo.

Uno de tantos.

¿Remitente?

Phone House

¿Título?

Comunicado de seguridad

Quizá debería llamarse comunicado de inseguridad

Porque a mí mucha confianza no me transmite.

Por lo que veo han decidido no pagar.

Hace unos días ya había leído noticias en la prensa.

Lo primero que llama la atención es el baile de números: de miles a 5.2 millones (está claro que 5.2 millones son matemáticamente miles, pero miles de miles en realidad) a 13 millones y a 13 billones.

Porque aunque sean 13 billones americanos, que «solo» son 13 mil millones, pues siguen siendo muchos. Sería interesante saber en qué otro planeta Phone House tiene sucursales porque en la tierra, que yo sepa, somos en total unos 8 mil millones.

Obviando, como decía, estos detallitos numéricos, no me gustaría estar esta semana en la Dirección de esa empresa.

Por tener que enfrentarse a un chantaje y tener que decidir si pagar o no.

Por tener que investigar cómo llegó la información del ciberataque a la prensa. Está claro que la normativa de protección de datos obliga a toda empresa a notificar a las autoridades cualquier filtración. La cuestión es ¿se planificó la publicación en prensa desde la propia empresa? Me extrañaría que quisieran ser expuestos de esta forma. ¿Lo hizo algún empleado? ¿Lo hicieron los chantajistas? ¿Alguién de las autoridades?

¿Cómo reaccionará el mercado a esta «publicidad» de la empresa?

Tengo claro que la ciberseguridad es complicada. Cada día aparecen nuevas brechas de seguridad.

Cualquier sistema informático está formado por centenares de componentes (desde el hardware de los servidores a las redes, los servidores de internet, de correo, los sistemas operativos, los lenguajes de programación, las librerías de componentes, …) y todos y cada uno de ellos pueden estar afectados por esos agujeros de seguridad.

Aun sabiendo Phone House que hay un agujero de seguridad ¿habrán sido capaces de saber exactamente cómo han podido acceder los hackers a su información? ¿Habrán conseguido bloquear ese acceso para que no se repita en el futuro?

Más preguntas que se debe estar planteando la empresa afectada.

¿Cómo notificar a los clientes que han sido afectados tras la publicación de sus datos?

A ser posible, sin que sufra demasiado la reputación de la empresa.

El «comunicado de seguridad» que he recibido explica lo que ha sucedido, cómo han actuado e intenta justificar lo que han hecho.

Digo «intenta justificar» porque hay expresiones que pretenden decir que esto le puede pasar a cualquiera y que ellos han hecho todo lo que se podía hacer.

Por ejemplo hay frases del tipo «como sabes, están afectando a todo tipo de entidades tanto del sector público como privado».

En clara referencia al ciberataque del SEPE (Servicio Público de Empleo Estatal) de hace unas semanas.

Como queriendo decir: no somos los únicos ni somos tan malos.

Por cierto, no he visto publicado como se resolvió el bloqueo de los equipos del SEPE. A diferencia de Phone House entiendo que no habrá habido filtración de datos (nos lo habrían comunicado si fuera así ¿verdad?) y tampoco habrán/habremos pagado.

También dice «A pesar de que en Phone House contamos con todas las medidas de seguridad requeridas por la normativa de protección de datos…»

Que yo sepa la normativa de protección de datos dice que toda empresa está obligada a custodiar los datos de sus clientes.

Puede que la normativa defina unas medidas mínimas obligatorias, pero estoy casi convencido de que cumplir con esos mínimo no exime de la obligación de custodiar los datos. Si no han sido capaces de custodiarlos es que no tenían todas las medidas requeridas.

El otro punto por el que digo que esto es, en mi opinión, un comunicado de inseguridad es porque dice que se pueden haber expuesto mis datos personales y mis datos bancarios.

Doy por cierto que, tal como dicen, no se han expuesto los datos de las tarjetas bancarias. Entiendo que la Agencia Española de Protección de Datos no permitiría que comunicasen esa información si no fuera cierta.

Pero mi duda es ¿tiene Phone House mis datos bancarios?

Yo creo que no. No suelo pagar con recibos bancarios a no ser ciertos suministros recurrentes.

Y, la verdad, no recuerdo qué he comprado en Phone House.

Si recuerdo haber estado alguna vez en la tienda que hay en el centro comercial cercano a mi casa.

Imagino que, si tienen mis datos, es porque compré algún teléfono o algún accesorio para el móvil.

Pero no lo recuerdo.

Tampoco dicen de cuando son mis datos que se han expuesto.

Así que entiendo que han enviado ese mismo comunicado a los miles/5.2 millones/13 millones/13 billones de afectados sin especificar información que puede ayudarme a saber cuan crítica puede ser para mí esa información filtrada.

Así que ahora tendré que preguntar por esa información en concreto.

En mi opinión podrían haber ayudado a reducir el pánico sencillamente enviando comunicados distintos a lo clientes de los que tienen datos bancarios y otro para los que no los tienen.

Por cierto, si quieres saber si tus datos han sido filtrados entra en haveibeenpwned.com y prueba con tu email y con tu número de teléfono (empezando por 0034 si es de España). Si ves algo como esto es que estás en la lista.

Otro aspecto a tener en cuenta en este comunicado de inseguridad es que indican que no han cedido al chantaje para no «contribuir a que, con dichos fondos, estos grupos criminales pudieran financiar otro ciberataque más, a otra compañía distinta de la nuestra».

Lo que no dicen es que al tomar esa decisión han optado por exponer a 5.2 millones de clientes (si nos creemos a lo que dice el mensaje de haveibeenpwned) que ahora pueden sufrir ataques a sus cuentas bancarias pues se han hecho público datos que incluyen su nombre, dirección y cuenta bancaria.

En conclusión

Posiblemente esto es algo que en estos próximos días va a estar (debería estar) sobre la mesa de todas las empresas:

  • ¿Estamos suficientemente/razonablemente protegidos?
  • ¿Deberíamos contratar una auditoría externa?
  • ¿O nos fiamos de nuestro «perfil bajo» y de que no somos suficientemente relevantes para que los ciberatacantes se fijen en nosotros?

Y como clientes también hay que plantearse preguntas:

  • ¿Qué seguridad tengo de que mi cuenta bancaria no sea accedida debido a esta y otras filtraciones similares que quizá ni hayan trascencido a la prensa?
  • ¿Debo/puedo reclamar si eso sucede?
  • ¿Qué protección tengo?

También hay preguntas para las autoridades

  • Con tantas medidas de seguridad que se exigen para los pagos en tarjeta ¿no debería aplicarse algo similar con los datos bancarios para evitar que puedan realizarse intentos de cobro solo sabiendo el número de cuenta?

O quizá también para los bancos

  • ¿Se puede ofrecer la posibilidad de que un cliente genere autorizaciones de cobro sobre sus cuentas indicando el remitente y límites de fechas e importes y darle a eso un número de autorización que se pueda enviar al proveedor con un riesgo controlado?
  • ¿Pagaría un cliente por este servicio como valor añadido?