Las filtraciones de datos pueden darse en empresas de todo tipo: algunas lo llevan mejor, otras peor. Al parecer, no todas las bases de datos filtradas contienen información crítica. Entonces, ¿podría considerarse en algún momento una filtración completamente segura? A continuación, vamos a utilizar los servicios de reparto de comida a domicilio para explicar esta situación.
¿Qué datos se han filtrado?
Comencemos por el hecho de que es muy poco probable que se filtre información sobre tarjetas bancarias por parte de los servicios de reparto, por el simple motivo de que no gestionan este tipo de datos. Muchos utilizan pasarelas de pago controladas por el propio banco adquiriente: el número de la tarjeta se introduce en el sitio web del banco, por lo que la compañía no puede verlo ni mucho menos almacenarlo. Aunque la tarjeta quede vinculada, esto tiene lugar desde el lado del banco, por lo que la empresa de reparto solo recibe un ID vinculante.
Sin embargo, las filtraciones de los servicios de reparto de comida a domicilio suelen ser más peligrosas que las de los marketplaces, ya que tus pedidos realizados en estas últimas se pueden recoger en un punto de recogida u oficina postal, mientras que los pedidos de comida siempre se entregan al cliente en su trabajo o domicilio. Hablamos de datos muy personales que pueden vincular a una persona con un número de teléfono o una dirección física, además de otras informaciones sobre su solvencia y patrones de comportamiento.
Cómo pueden amenazar estas filtraciones a los clientes
Queda claro que no podemos sacar nada positivo de que estos paquetes de información personal estén disponibles en el dominio público, de hecho, estas son las posibles consecuencias:
- Los atacantes podrían acceder a información sobre el domicilio de la víctima, lo que gasta en comida a domicilio, cuándo la pide y qué días suele saltárselo; todos los datos necesarios para realizar el robo perfecto.
- También podrían surgir problemas domésticos inesperados. Por ejemplo, el pasado verano se hizo pública una historia en redes sociales sobre una chica que se hizo con una base de datos y descubrió que su novio pedía regularmente pizza a la dirección de una amiga suya. Evidentemente, no acabó bien.
- Estas filtraciones son bases de datos perfectas para hacer un retrato del consumidor y enviar spam dirigido a las direcciones postales conocidas.
- Estas bases de datos contienen no solo direcciones personales, sino también corporativas, lo que permite a un atacante utilizar la ingeniería social para penetrar en la red interna de una empresa mediante un servicio de reparto a domicilio. Por ejemplo, pueden llamarte para informarte de que has ganado un premio por tu fidelidad y recibir una memoria USB que acabe infectando tu dispositivo con malware. Dado que la víctima es un cliente auténtico del servicio, es muy complicado que detecten la estafa, sobre todo si entrega el paquete un transportista de uniforme.
Cómo pueden amenazar estas filtraciones a las empresas
En el caso de las empresas, estas filtraciones son algo mucho más serio que puede conllevar numerosos riesgos:
- Reputacionales. Las filtraciones no se pueden ocultar, dado que las bases de datos acaban inevitablemente en la dark web; motivo por el cual las empresas suelen anunciarlas antes. Pero esta transparencia no ayuda, dado que los incidentes de seguridad siempre sacuden la confianza tanto de los clientes como de los socios.
- Normativos. Los reguladores no se lo piensan dos veces a la hora de multar a las empresas por la violación de datos y las normativas de protección. El importe de la multa depende de la jurisdicción, pero aquí no solo entra en juego la región en la que esté registrada la empresa, sino también la ubicación de sus clientes. Por ejemplo, cualquier empresa que ofrezca bienes o servicios a cliente en casi cualquier país europeo está sujeta al RGPD.
- Materiales. Cada vez son más los clientes que se unen para presentar demandas colectivas cuando se filtran sus datos y los tribunales comienzan a ponerse de su lado. De momento la cantidad es pequeña, pero va creciendo a medida que aumentan los usuarios dispuestos a demandar.
¿Cómo actuar?
Por desgracia, los clientes que no están preparados para abandonar por completo los servicios de comida a domicilio no tienen muchas opciones. Las filtraciones deben tenerse en cuenta como otro riesgo inevitable y, como cualquier otro, debe ser evaluado con el objetivo de mitigar sus consecuencias. Por ejemplo, puedes solicitar que te entreguen los pedidos en puntos de recogida, en lugar de en tu domicilio; también puedes prestar atención a las casillas de verificación en el formulario del pedido, probablemente puedas evitar que se almacenen tu dirección y número de teléfono.
Las empresas tienen muchas más opciones que, aunque se conozcan, no siempre se utilizan al completo:
- Limitar el acceso de los empleados a las bases de datos internas que contengan datos personales.
- Llevar a cabo auditorías periódicas de los sistemas de seguridad.
- No almacenar datos personales innecesarios. Esto supone permitir a los clientes que elijan lo que quieren confiar a tu empresa y qué debe ser eliminado de inmediato al completar un pedido.
- Monitorizar minuciosamente todo lo que pasa en tu infraestructura con servicios del tipo MDR.