La brecha de seguridad de Epsilon despierta a la industria
Un ataque que ha conseguido hacerse con emails de un gran número de clientes vuelve a generar debate en torno a la seguridad del cloud.
1. Epsilon, atacada por los ciberdelincuentes
La empresa de marketing de Estados Unidos Epsilon se ha visto afectada por uno de los mayores robos de datos hasta la fecha, y se cree que los ataques proceden de ciberdelincuentes muy sofisticados. Al menos es lo que asegura Alliance Data Systems, matriz de Epsilon.
Millones de nombres y direcciones de correo se han robado de Epsilon, una empresa que gestiona campañas de marketing para 2.500 empresas entre las que se incluyen Mark & Spencer o el Ritz-Carlton, que son algunas de las compañías que se han visto afectadas por la brecha de seguridad.
Tanto Alliance Data como Epsilon han asegurado que el rob de datos no ha afectado a información sensible, como datos bancarios, pero los expertos aseguran que existe un riesgo importante de que los afectados revivan mensajes de phishing en el futuro.
Rik Ferguson, director de investigación de seguridad de la empresa Trend Micro, ha dicho que en realidad el ataque no sólo buscaba nombres de usuarios y direcciones de correo electrónico, sino información sobre dónde compran, dónde pasan las vacaciones, qué bancos utilizan, etc.
Alliance Data ha dicho que Epsilon está investigando la brecha de seguridad con las autoridades federales y que se están implementando protocolos de seguridad adicionales, pero el ataque ha movilizado conciencias, tanto las de los que buscan aprender de este problema de seguridad como las de los que vuelven a plantearse la seguridad que rodea a la nube.
2. Una lección que aprender
Un vaso puede verse medio lleno, o medio vacío, y hay quien se empeña en verlo medio lleno, incluso cuando se anuncia públicamente que las bases de datos de numerosas compañías se han visto comprometidas por una entrada no autorizada al sistema de correo electrónica de Epsilon. Hay quien asegura que este tipo de incidentes tienen una parte positiva y en este caso puede servir para entrenar a los trabajadores de cualquier empresa a reconocer lo que es una brecha de seguridad. Sobre todo son las compañías más pequeñas las que pueden preguntarse qué pueden hacer para sobrevivir a un ataque similar.
Más de una semana después de producirse la brecha de seguridad, todavía se estudia su alcance, y sobre todo se advierte de que la información conseguida puede utilizarse para lanzar campañas de phishing con el fin de hacer que el usuario ceda datos personales más sensibles.
Ha sido Randy Abrams, directivo de la empresa de seguridad Eset quien asegura que el ataque a Epsilon supone una “enorme oportunidad educativa” que ayudará a millones de personas a aprender a protegerse contra el phishing.
Por una parte las compañías pequeñas deben evaluar qué información es crítica para sus operaciones y asegurarla, de forma que “minimicen” el daño en caso de ataque. Las empresas de todos los tamaños deben formar a sus empleados utilizando las brechas de seguridad porque “son ejemplos del mundo real”. Desarrollar programas y estudiar diversos escenarios ayudará a los empleados a “actuar por instinto” y reconocer las estafas, algo que ayudará a las empresas a minimizar el daño cuando se produzca un ataque.
3. Se renueva el temor por la seguridad en la nube
La brecha de seguridad de Epsilon, que sigue al ataque sufrido por RSA, la división de seguridad de EMC hace unas semanas, ha despertado los temores, siempre latentes, sobre la seguridad de la información almacenada en infraestructuras cloud.
El pasado 1 de abril Epsilon anunciaba que había detectado una “entrada no autorizada” en su sistema de correo electrónico y que había descubierto que tanto los nombres como las direcciones de email de un grupo de clientes se habían visto expuestos a los ataques de los hackers. Concretamente el ataque pudo haber afectado al 2% de sus aproximadamente 2.500 clientes, y a pesar del tamaño de la brecha, algunas de las compañías afectadas y sus clientes parecen “agradecidos” de que los datos robados sólo afectaran a las direcciones de correo electrónico y no otros daos más personales.
Aun así, los afectados se verán afectados por más spam y se plantea si la gente puede confiar en algo tan sencillo como ofrecer su correo electrónico a una tienda o una cadena de hoteles. Curiosamente, la mayoría de los usuarios que han recibido aviso sobre la brecha de seguridad nunca han oído hablar de Epsilon, pero sí ha afectado a la relación sus bancos, compañías de viajes o tiendas, que son los que han avisado del problema de seguridad.
La brecha de Epsilon no sólo planteará a muchas empresas la plantearse si ceder sus campañas de marketing a terceros, sino, y lo que es más importante, cuán seguros están los datos en la nube. Precisamente la seguridad de la nube es uno de los aspectos que más están frenando la adopción de la cloud computing