You are on page 1of 2

Fuga de información: Epsilon y Sony PSN, un caso de estudio

En el último mes ocurrieron dos grandes robos de información que pasaron a la historia: El robo de información de datos personales a Epsilon y a Sony PSN (PlayStation Network). Epsilon, una empresa de envío masivos de e-mail (on-line Marketing), sufrió un ataque el 1 de Abril donde se extrajeron datos personales (nombres completos, direcciones de e-mail y preferencias) del 2% de sus clientes (representando 2.500 clientes). Esto no parece ser mucho, pero ese porcentaje estaba conformado por 50 empresas altamente reconocidas a nivel mundial, como ser: Ameriprise Financial, Barclay’s Bank of Delaware, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, JPMorgan Chase, Marks and Spencer, Marriott y TD Ameritrade entre otros. La cantidad de registros robados no se sabe con exactitud, pero teniendo en cuenta que la empresa envía aproximadamente 40 billones de e-mails por año, la cantidad de registros afectados puede ser más que interesante. Por el otro lado, tenemos el caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información personal de sus 78 millones de usuarios fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia superando al incidente de Epsilon. Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito. Ambos incidentes son un excelente caso de estudio de las ramificaciones que pueden ocurrir cuando un ataque tiene éxito. A continuación enumero algunos de los riesgos que están afrontando ó podrían afrontar las empresas previamente mencionadas. ¿Qué riesgos afrontan las compañías ante el robo de información?

Multas por falta de cumplimiento regulatorio: Existen legislaciones en otros paises sobre la protección de datos personales que deben cumplir las compañías. A modo de ejemplo, en Argentina rige la Ley Nº 25.326 de Protección de Datos Personales mientras que en EE.UU. tenemos el Privacy Act of 1974 (resguardo de información personal administrada por agencias federales), Gramm-Leach-Bliley Act (sobre datos financieros) y Health Insurance Portability and Accountability Act (HIPAA) de 1996 (datos personales médicos). El robo de información personal puede iniciar una investigación por los entes de control de cada nación (dado que para cada país aplica una regulación local) para verificar si la Compañía estaba ó no en cumplimiento con la regulación y en caso que no lo esté, aplicar multas acorde. Acciones legales de terceros afectados: Los terceros afectados, como ser los usuarios de Sony PSN ya se encuentran presentando demandas contra la compañía por negligencia. En el caso de los clientes de Epsilon afectados, podrían iniciar una demanda a la Compañía por los daños y perjuicios causados por el incidente (recordemos que en el caso Epsilon, los afectados fueron empresas clientes de ésta y sus clientes finales) Daños colaterales: En el caso de Sony PSN, se estima que el robo de información de las tarjetas de crédito les podría costar alrededor de 300 millones de dólares reemplazar las tarjetas (costo que Sony confirmó que se hará cargo). En el caso de Epsilon, cada cliente de

En el caso Epsilon. etc.UU. Sin embargo. Efectos financieros: Ambas compañías sufrieron una baja en sus acciones entre los 2 y 5 puntos porcentuales. donde se obtuvieron números de tarjetas de crédito.    la misma se podría ver afectado en 5. En lo que respecta a Epsilon.identidadrobada. paypal.5 millones de dólares por demandas. amazon.UU. Venta de la información: Los datos extraídos pueden ser vendidos a la competencia de las respectivas compañías. En el caso de Sony PSN. gmail.UU. se le solicitó al Fiscal General de EE. afirman que no volverán a poner sus datos personales en servidores de Sony. los Gobiernos de EE. etc. el Gobierno de EE. con la información extraída les sería más fácil adivinar una contraseña. los atacantes pueden intentar acceder a dichas aplicaciones hasta lograrlo. inició una investigación contra las Compañías. Incluso. Esto es debido a que los atacantes podrían utilizar dichos números para realizar transacciones on-line ó duplicar tarjetas. se pidió a los clientes afectados que revisen en forma periódica los resúmenes de dichas tarjetas ó que las reemplacen. Aún así. La cámara de diputados (House of Representatives) de EE. como ser e-bay. Uso de la información para acceder a aplicaciones on-line: Los datos obtenidos tanto de Sony como de Epsilon podrían utilizarse por los atacantes para intentar acceder a aplicaciones on-line.. Lo que más afecto a Sony fue la pérdida de confianza de sus usuarios: por más que éstos solo quieren que vuelva la red PSN para poder jugar. la probabilidad de que esto suceda es bajo dado que las mismas se encontraban cifradas y sin el código de seguridad (según Sony). Inglaterra y Hong Kong se encuentran investigando el hecho. Robo de identidad: Con los datos extraídos de Sony se podría llegar a concretar el robo de identidad de los usuarios de la red PSN.com) . Pérdida de imagen y confianza: Sin dudas que ambas Compañías sufrieron una pérdida de imagen importante. se sabe que parte del costo esperado del ataque incluye la pérdida de esperada de clientes. exigió explicaciones sobre el incidente y las medidas que ésta va a tomar para proteger a los usuarios afectados. ¿Por qué? Dado que la mayoría de las personas utiliza el mismo e-mail y hasta la misma contraseña como credenciales de acceso a todas las aplicaciones on-line que utiliza. se estimó que el ataque a Sony le costará a la Compañía 24 billones de dólares mientras que a Epsilon 4 billones de dólares. acuerdos. Lo mismo podría suceder con los datos extraídos de Sony. Adicionalmente. resultando en futuras pérdidas. pérdidas de clientes. Duplicación de tarjetas: En el caso de Sony. Por Agusting Chernitsky | Especialista en Seguridad de la Información Especial para Identidad Robada (http://www. ¿Qué riesgos afrontan los usuarios afectados por el robo de información?     Ataques de Phishing y/o Spear-Phishing: La información obtenida del robo de datos a Epsilon ya fue utilizada en ataques de Phishing y se estima que esto es solo el principio. Por más que en el caso de los datos robados no incluían el número de seguridad social (equivalente al CUIL ó DNI en Argentina) aún así podría efectuarse el Robo de Identidad ó realizar otro ataque de ingeniería social para obtener los datos faltantes.UU. que investigue las responsabilidades civiles y penales de la compañía por el robo de información. Sony es la más afectada por la forma en que manejo el incidente y el impacto que tuvo sobre la disponibilidad del servicio (recordemos que la red PSN sigue inactiva). Investigaciones Gubernamentales: en ambos casos.