Bloomberg — Robinhood Markets Inc. anunció el lunes una embarazosa brecha de seguridad que expuso la información personal de millones de sus usuarios. Esto causará especial preocupación a los de 310 clientes cuya privacidad se ha visto más gravemente comprometida.
La mayoría de los 7 millones de cuentas afectadas sólo vieron un dato personal expuesto: el nombre del usuario o su dirección de correo electrónico. Pero en unos 310 casos se descubrieron datos más sensibles, como la fecha de nacimiento y el código postal, así como el nombre completo del usuario. A unas 10 personas dentro de ese grupo se les vieron “detalles más extensos de la cuenta”, dijo Robinhood, añadiendo que la compañía está en proceso de “hacer las revelaciones apropiadas” a esos usuarios.
Ningún número de seguridad social, cuenta bancaria o tarjeta de débito se vio comprometido y ningún cliente sufrió pérdidas financieras como resultado del incidente, dijo Robinhood. Al menos, todavía no.
Ver más: Vulneración de seguridad en Robinhood expone datos de millones de usuarios
El peligro es que la información expuesta podría utilizarse para facilitar nuevos ataques del tipo que reveló los datos de los usuarios en primer lugar.
Atributos como la fecha de nacimiento y la dirección física son difíciles de cambiar y se utilizan habitualmente como controles de verificación al iniciar sesión en diversos servicios. La vulneración a la seguridad de los datos de Robinhood se produjo a través de un empleado del servicio de atención al cliente, cuya cooperación se utilizó para obtener acceso a los sistemas de asistencia internos.
Aunque Robinhood no ha revelado cuánto tiempo tardó en informar a los usuarios afectados de la intrusión de la semana pasada, ese es el periodo en el que el riesgo habría sido mayor. Ahora que son conscientes de la brecha, la mejor medida para los clientes afectados es alterar cualquier comprobación de seguridad que dependa de su fecha de nacimiento y practicar una buena higiene de seguridad en línea, como la autenticación de dos factores y el escepticismo hacia los correos electrónicos de remitentes desconocidos.
Robinhood dijo que contuvo la brecha, notificó a las fuerzas del orden y contrató a la empresa de seguridad Mandiant Inc. para investigar el asunto. El director de tecnología de Mandiant, Charles Carmakal, dijo que Robinhood “realizó una investigación exhaustiva para evaluar el impacto”.
Sin embargo, la máxima de la compañía de “la seguridad es lo primero”, repetida a menudo por los ejecutivos, sonará vacía para los millones de usuarios que ahora son un poco más vulnerables a los ataques de phishing y el grupo más pequeño que tendrá que ser más atento porque eligió utilizar la plataforma.
