LosLunesAlSol
Parece que el robo de datos está sonando últimamente más de lo que a todos nos gustaría, y en muchos casos los datos a los que se accede son muy importantes tanto a nivel personal como financiero. Después del sonado y reiterado caso de Sony en la pérdida de datos esta semana nos hemos enterado del robo de datos de miles de usuarios de Citibank y del INTECO.
Ambas entidades deberían ser ejemplo de seguridad y protección de datos debido a la actividad en la que ejercen sus labores, el financiero por parte de Citibank y el de la seguridad por parte del INTECO. Si bien las medidas que tenían se han mostrado ineficaces para evitar el desastre. En el caso de Citibank afectan a más de 200.000 usuarios en Estados Unidos según la agencia Reuters.
En el caso del INTECO el impacto es más reducido, como consecuencia lógica de la diferente dimensión de ambas entidades. Afecta a unos 20.000 usuarios. La diferencia entre la importancia de los datos recogidos en uno y otro caso son más que notorias, ya que comprometen nuestra intimidad y en el caso del banco nuestro patrimonio. En ambos casos supondrá una pérdida de confianza por parte de los usuarios hacia dichas entidades.
Clientes o usuario, diferentes estrategias de comunicación
Parece que no es lo mismo ser un cliente de una entidad bancaria, con la cual seguramente tendremos algún vínculo contractual que hará complicado que cerremos nuestra cuenta y nos cambiemos de entidad que un usuario de una web como la de INTECO, donde la confianza es primordial. En el segundo caso, si el usuario sigue desconfiando de que la brecha no se ha cerrado o le han ocultado información no seguirá visitando esta página ni confiando en esta entidad.
Más que el hecho del robo en sí mismo, me interesa destacar las distintas reacciones que podemos ver en ambas entidades. Mientras si entramos a la página de Citigroup no encontramos reseñas o detalles de esta cuestión, no hay comunicados de prensa oficiales, o por lo menos yo no he sido capaz de encontrarlos, el INTECO ha optado por una política de transparencia. En su página principal tenemos una cronología de cómo conocieron los hechos y la reacción posterior.
Además informan con detalle de los datos robados y su catalogación por la LOPD como datos básicos, en este caso no se han sustraído ni el dato del correo electrónico del usuario, ni su número de DNI, lo que minimiza los riesgos financieros y sitúan el robo más en un ámbito de pérdida de intimidad que de peligro de pérdida de patrimonio. Todo esto acompañado del envío de un comunicado por correo electrónico informando a los usuarios afectados de todo el asunto.
El tiempo de reacción es básico en estos casos
Esto por no hablar de las diferencias en los tiempos de reacción. La brecha de Citibank fue descubierta en una inspección rutinaria a principios de Mayo. El banco se puso manos a la obra para ver el impacto que tenía en las cuentas de los clientes afectados pero mientras tanto guardó silencio. No hizo pública la brecha ni el problema ocurrido. En INTECO la claridad de la información ha sido un ejemplo de transparencia.
Si yo fuera usuario de Citibank y los datos de mi tarjeta estuvieran comprometidos me sentiría doblemente engañado. En primer lugar porque una entidad financiera no puede permitirse estos problemas. Y en segundo lugar porque no es lo más adecuado enterase por el periódico de que los nombres, números de cuenta e información de contacto están en poder de quien nunca debería tenerlos, lo que sin duda facilita ataques concretos muy dirigidos a obtener el resto de datos que faltan para completar el puzzle.
Los usuarios de Citibank han estado expuestos a la posibilidad de ataques de este tipo sin que sean conscientes del robo de datos y por lo tanto no estaban prevenidos. De nada sirve que el banco haya hecho los deberes para tapar el agujero de seguridad. Una situación así sólo se salva emitiendo tarjetas nuevas ya para los usuarios afectados.
No se lo que pensaréis vosotros pero en este caso parece que las dos entidades salen mal paradas en su imagen. La diferencia es que mientras Citibank trata de actuar como si nada hubiese ocurrido, en lo que respecta su comunicación corporativa, el INTECO mete luz y taquígrafos para facilitar a todos los usuarios toda la información al respecto. Para mi todo un ejemplo de como actuar con transparencia ante un problema de seguridad que afectan a los usuarios.
En Genbeta | Robo de datos bancarios en Sony Online Entertainment, usuarios españoles afectados
Foto | Flickr
Ver 13 comentarios
13 comentarios
esfran
Encima al Inteco, que son los "Expertos públicos españoles en seguridad". Cuántos chistes de funcionarios se podrá contar a partir de esto.
Alexuny
Me alegro de no usar los servicios de banca on-line para nada. No me fío porque siempre pueden pasar cosas como estas. Y encima por usarlos tampoco te benefician mucho que se diga... pagas ADSL y le montas al banco el cajero (sin dinero en metálico), mostrador y oficina en tu casa de tu bolsillo.
Muchas cosas serias de verdad siguen siendo mejores y más preferibles de realizar y hacer "por el método de la abuela". Están queriendo aprovecharse de Internet para recortar gastos pero que a nosotros nos cueste al final lo mismo (o más, ya que hay que tener Internet, ordenador, posibilidades de estos fallos y ataques, etc...). Y luego encima cuando hay problemas ajenos a nosotros, son más molestias añadidas para los que pagamos: que si 902s, menos personal y peores horarios en oficinas, cada vez peor trato personal (no digamos a través de Internet y teléfono), más pérdidas de tiempo...
paulogarcia2005
No me hubiera gustado ser cliente de CitiBank y leer el periódico, como dices es una traición total hacia el cliente porque el atacante pudo tener mucho tiempo para realizar los ataques, si lo descubrieron a finales de mayo no necesariamente ocurrió en ese momento, y puede que el atacante haya tenido casi un mes para hacer de las suyas. Creo que algunas empresas en realidad se estan durmiendo con respecto a su seguridad, y ahora que con Sony se recordó la idea de que aún siendo grandes pueden caer, creo que muchos se están arriesgando un poco más, así que talvez (esperemos que no) veamos más ataques de este tipo contra entidades grandes. Por otro lado, si el campo de INTECO es la seguridad esto es pésimo para su clientela, aunque por lo menos han reaccionado de mejor manera porque lo peor es saber que algo anda mal pero no saber que es o si uno está afectado.
lordofthecoffee
Bueno, esperemos que no salgan muchas más "sorpresas". Eso pondría mucho en entredicho la ya siempre cuestionada seguridad en internet. ¡Ah! Y a ponerse la pilas, los responsables de seguridad, y los usuarios a estar alerta, porque nada es infalible.
87231
La tecnología avanza monstruosa mente y la seguridad sigue estancada, chavos de 14 años ya empiezan a hackear, si los viejos no dejan sus plazas burocráticas a los jóvenes esto seguirá pasando, adiós a los viejos bienvenidos los jóvenes, me incluyo, se como esta la realidad.
quiquex
Solo falta que Anonymous se adjudique el ataque...