Bloomberg — Los clientes de Robinhood Markets Inc. que responden encogiéndose de hombros a una filtración de datos probablemente estén subestimando cómo incluso detalles banales pueden dejar vulnerable su información financiera.
Mark Newman, un usuario de Robinhood de 54 años del sureste de Arkansas, recibió un aviso el lunes por la noche diciendo que su dirección de correo electrónico había sido expuesta. Eso fue después de que un pirata informático robara la información personal de unos 7 millones de usuarios. “He estado en Internet desde su concepción y es de esperar”, dijo.
Brittany Wedd, que vive en Hagerstown, Maryland, se hizo eco de una opinión similar: “Se ha convertido en una forma de vida, el riesgo inherente de hacer negocios en línea”. La clienta de 33 años dijo que le preocuparía una falla mayor de ciberseguridad, pero no estaba particularmente preocupada por las direcciones de correo electrónico violadas. Después de todo, las direcciones de muchas personas ya son públicas en línea.
Los expertos en ciberseguridad dicen que esa indiferencia es peligrosa. Ciertamente, los clientes se han acostumbrado a los hackeos. También le han dado a empresas como Google, Facebook y Robinhood algunos de sus datos más privados, que van desde sus números de Seguro Social hasta los detalles de sus cuentas bancarias.
Robinhood dijo que cree que no se expusieron números de la Seguridad Social, cuentas bancarias o tarjetas de débito en el último ataque, ni que los clientes incurrieron en pérdidas financieras. Pero incluso la información menos privada puede resultar riesgosa para los clientes si cae en las manos equivocadas. Esto se debe a que puede ayudar a los ladrones a crear una imagen clara de posibles objetivos.
“Supongamos que recibe un correo electrónico que dice: ‘Su tarjeta Chase tiene un problema, debe iniciar sesión y solucionarlo’”, explica Mark McCreary, copresidente de privacidad y seguridad de datos en el bufete de abogados Fox Rothschild. “Si no tienes una tarjeta de Chase, ignórala”. Pero ahora que un hacker conoce a 7 millones de personas que en realidad son clientes de Robinhood, puede “hacerse pasar por Robinhood y hacer que los usuarios inicien sesión en sus cuentas de Robinhood. Saben que estas personas serán susceptibles porque son clientes de Robinhood “, dijo.
Ver más: Vulneración de seguridad en Robinhood expone datos de millones de usuarios
A nivel general, el hackeo es “dramáticamente menos severo” que si involucrara millones de contraseñas, información de cuentas bancarias o números de seguro social, dijo Rebecca Wright, profesora de informática en Barnard College y presidenta del Centro de Investigación de Ciberseguridad en Columbia Data Science Institute. Aún así, dice que “Robinhood debería verlo como un gran problema”.
“Las empresas deben tener sólidas prácticas de seguridad. Que alguien obtenga ese tipo de acceso es un gran problema “, dijo.
La compañía dice que contuvo la violación, notificó a la policía y contrató a la firma de seguridad Mandiant para investigar el hecho. El director de tecnología de Mandiant, Charles Carmakal, dijo que su empresa espera que el intruso continúe atacando y extorsionando a otras organizaciones durante los próximos meses.
Ver más: Por qué 310 víctimas del ciberataque a Robinhood deberían estar muy preocupadas
Esta no es la primera vez que los clientes de Robinhood se enfrentan a ataques. En 2020, casi 2.000 cuentas se vieron comprometidas en un hecho que desvió fondos de cuentas de los clientes.
Los clientes no deberían necesariamente tomar las infracciones como un impulso para dejar de ser usuarios de Robinhood, dice McCreary de Fox Rothschild. “No creo que este sea el tipo de cosas en las que tienes que decir que Robinhood es completamente indiferente con respecto a la seguridad. En todo caso, esto solo refuerza lo que les decimos a nuestros clientes, que es que el eslabón más débil siempre somos tú y yo “, dijo.
En este caso, el ataque se perpetró a través de una llamada telefónica con un representante de servicio al cliente, a quien el intruso usó para obtener acceso a los sistemas de soporte, según la plataforma con sede en Menlo Park, California.
El hecho de que no se haya expuesto información financiera significa que los clientes afectados probablemente tengan pocos recursos legales para reclamar, según McCreary.
“Una cosa es poder demostrar que perdiste mi nombre de usuario o número de Seguro Social y eso provocó un fraude en mi cuenta”, dijo. “¿Con direcciones de correo electrónico o nombres? Es realmente difícil demostrar que hay algún daño allí. No veo ningún recurso para el cliente “.
Wright recomienda que los clientes tomen medidas de seguridad estándar para protegerse. Las personas que están preocupadas podrían congelar el crédito de sus cuentas principales, dice. Podrían considerar el uso de diferentes direcciones de correo electrónico para diferentes propósitos. Y, por supuesto, “elegir buenas contraseñas y no reutilizarlas”.
Y Jake Moore, de la compañía de seguridad en Internet ESET, dice que los clientes de Robinhood deben monitorear cuidadosamente sus bandejas de entrada en el futuro.
“Cualquier correo electrónico que pretenda ser de Robinhood en la próxima semana o mes lo trataría con precaución”, dijo.
Le puede interesar: Goldman Sachs ve crecimiento más lento e inflación acelerada en Latam en 2022