Se ha producido una nueva brecha de información a millones de personas afectadas. Esto tiene en jaque a Slim CD, proveedor de pagos canadiense que ha sido víctima de un ataque cibernético masivo. Los responsables habrían logrado acceso a la red de la empresa durante casi un año.
Nombres, número de tarjetas, direcciones, fechas de expiración; son casi 2 millones de clientes cuya información sensible está en peligro. Actualmente, se sigue investigando acerca del evento. ¿Qué sucederá con los afectados? ¿Qué medidas se deben tomar? Hablemos al respecto.
Infiltración de datos: una brecha de información a que afecta a millones
Durante casi un año la empresa de pagos electrónicos Slim CD* pudo estar expuesta a una vulneración en su base de datos. Esta brecha de información a millones afecta a usuarios estadounidenses y canadienses que emplean los servicios de este gestor. Slim CD es una entidad que brinda soluciones en forma de pagos electrónicos y por medio de tarjetas de crédito. Almacenando información para concretar transacciones financieras. Lo hacen directamente con empresas y comercios a través de terminales web, aplicaciones y dispositivos móviles.
Según investigaciones realizadas a través de expertos externos, la primera vulneración ocurrió el 17 de agosto del 2023. No obstante, la entidad se percató de este hecho recientemente, el 15 de junio del 2024. Por lo que su data pudo estar expuesta durante bastante tiempo.
Los hackers obtuvieron información esencial de los usuarios, como datos personales, de sus tarjetas y domicilio. Aunque no los números CVV, según declaró la compañía canadiense. Un dato sin el cual no se pueden realizar operaciones como compras y transferencias.
Slim CD no ha revelado cuáles fueron los sistemas violentados durante el ataque que ocasionó una brecha de información a millones de personas. Aunque sí mencionó que la exposición ocurriría entre el 14 y el 15 de junio del presente año. Precisamente sería el último ingreso lo que les alertaría respecto a la violación de su data.
Aunque el código de operaciones no fue extraído, existe un riesgo potencial de que los atacantes puedan realizar operaciones fraudulentas usando los datos obtenidos. Por lo que los usuarios de las pasarelas asociadas deben mantenerse en alerta ante cualquier problema que se presente. Esta brecha de información a millones podría generar serias consecuencias a futuro. Entre los afectados se cuentan empresas hoteleras, comercios minoristas, restaurantes y otros rubros. Así como todos los usuarios que hayan hecho pagos en negocios afiliados a Slim CD.
Las declaraciones de la empresa Slim CD
¿Qué ha dicho la empresa ante la brecha de información que afecta a millones de personas? En sus declaraciones ha mantenido aspectos en secreto. Como qué ocurrió durante los días previos a determinarse la vulneración. Considerando que la data pudo estar en peligro durante casi un año. Según la entidad, una vez se descubrió el ataque el 15 de junio, contrataron a un experto que indagó en la naturaleza del mismo. Encontrándose la gravedad y todo el tiempo en que el sistema fue penetrado de forma ilícita.
No obstante, afirman enfáticamente que solo estuvieron expuestos durante dos días, el 14 y 15 de junio. Así lo afirmaron en un documento de tres páginas que fue publicado en la web oficial de este gestor de pagos. Además de la declaración, se incluyó una notificación a los clientes por violación de seguridad. Estas se han estado enviando desde el día viernes 6 de septiembre a los posibles afectados a través de sus correos electrónicos.
Específicamente a quienes realizaron pagos con clientes de la compañía, tanto en Estados Unidos como Canadá. Adicionalmente, se remitieron notificaciones ante las autoridades, como los fiscales de Maine, Vermont y California.
La empresa afirmó que ya está tomando medidas de seguridad para prevenir futuras brechas de información a millones. Revisando sus medidas actuales y aplicando salvaguardas extra.
¿Quiénes son los responsables del ataque?
Hasta ahora la empresa no ha mencionado quiénes son los responsables del hackeo ocurrido*, ni los movimientos realizados. No se han reportado declaraciones de ningún grupo haciéndose responsable por esta brecha de información que ha afectado a millones. Es desconocida la naturaleza del mismo, por ejemplo, si ha sido un ramsomware, forma bastante común de extorsión usada por estos ciberdelincuentes. De hecho, esta es la segunda causa más común de violaciones luego del pishing. Siendo Estados Unidos y otros países como Canadá algunos de los más afectados.
¿Qué hacer para proteger la información financiera sensible?
¿Qué hacer ante la brecha de información a millones ocurrida en la empresa de pagos Slim CD? La entidad recomendó a todos los usuarios posiblemente afectados realizar un monitoreo constante de sus instrumentos financieros. Es importante destacar que no adicionó una disculpa a los más de 1,600 millones de clientes en su declaración oficial. Pero sí instó a que estos para que soliciten un informe de crédito lo antes posible*.
Lo anterior, coloca en discusión las medidas que estas entidades aplican. Así como sus protocolos de gestión ante eventualidades y la calidad de protección que brindan a sus clientes y empresas afiliadas. De acuerdo a varios medios, las personas potencialmente afectadas no cuentan con un servicio gratuito de resguardo para robo de datos otorgado por Slim CD. Tampoco de protocolos establecidos para el control de crédito o servicio de protección. Por lo que estos usuarios deben tomar sus propias medidas. Solo en el estado de California se están brindando servicios de monitoreo gratuito. Así como reembolsos y recuperación usando IDX, siendo la fecha límite para suscribirse el 5 de diciembre del presente año.
Por lo tanto, los usuarios que reciban una notificación acerca de esta brecha de información a millones deberán comunicarse con su entidad financiera para solicitar un reemplazo de la tarjeta. También será necesario que tomen medidas puntuales, monitoreando activamente sus cuentas. De encontrar alguna irregularidad deberán reportarlo inmediatamente a la entidad bancaria respectiva; como gastos no reconocidos u otras clases de fraude. De acuerdo a Slim CD hasta ahora no se ha notificado el uso de datos de forma ilegal, ni operaciones no autorizadas. Pero esto no quiere decir que pueda presentarse alguna en cualquier momento.
¿Qué medidas pueden tomar los usuarios de Slim CD?
Definitivamente mantener protegidos los datos de tarjetas de crédito cada vez resulta más difícil. Las filtraciones siguen ocurriendo, como la brecha de información a millones acontecida a los usuarios de Slim CD; quienes siguen preguntándose cómo salvaguardar su información sensible en un futuro cercano.
Algunas recomendaciones que pueden seguir los afectados, según expertos, son las siguientes:
- • Revisar el historial de transacciones de forma constante, y reportar cualquier movimiento extraño ante la entidad que respalda la tarjeta.
- • Activar todas las opciones de seguridad disponibles, como la verificación de dos pasos. Esta agrega una capa adicional de protección en cada operación realizada.
- • No usar la misma contraseña, cambiarla inmediatamente es indispensable. También debe optarse por aquellas que sean seguras, ya que las simples de 8 dígitos pueden violentarse fácilmente. En cambio, aquellas a partir de 12 caracteres son más difíciles de vulnerar.
- • Mantenerse informado respecto a cualquier medida que tome la empresa con respecto al evento ocurrido. Sobre todo, si se ha recibido una notificación por parte de esta entidad.
- • Migrar a otra plataforma en caso de que no se sienta cómodo con los servicios de Slim CD. Esto es válido para las empresas y comercios, así como los usuarios cuyos datos han sido robados.
Por su parte, las entidades deben actualizar sus plataformas constantemente, sobre todo porque los hackeos masivos están tomando auge. También concientizar a los empleados para evitar errores humanos de seguridad. Se deben encriptar las datas y aplicar autentificación multifactorial, entre otras acciones.
Casos recurrentes de vulneraciones
Las empresas que prestan servicios como el almacenamiento de datos financieros, tienen un desafío frente a ellas: los sofisticados métodos de hackeo y el aumento constante de estos. Así mismo, deben saber equilibrar su funcionalidad con estrictos protocolos de protección. Sobre todo, cuando requieren integrar sus sistemas con software de terceros, como ocurre con las pasarelas de pago.
Resulta importante destacar que este tipo de vulneraciones se siguen presentando en escalada. Por ejemplo, entre el 2021 y 2022 los casos reportados se triplicaron; con un pico de 188 millones en el año 2021. En el 2024 ya se han registrado varios eventos. Como un acceso no reconocido a la empresa Fortinet, entidad que se encarga de manejar la ciberseguridad de diferentes compañías, esta tiene sede en California, Estados Unidos.
Los hackers obtienen buenos dividendos con estas actividades, por lo que es muy probable que se sigan reportando más casos. Corresponderá a las autoridades gubernamentales crear medidas estrictas para evitar que el problema siga escalando. En este sentido, será importante considerar las acciones mencionadas, en conjunto con otros protocolos para resguardarse con respecto a eventos semejantes.
Empresas como Slim CD se enfrentan a un reto muy grande, incluyendo la pérdida de confianza por parte de las empresas afiliadas. Quienes podrían migrar hacia otros servicios debido al gran riesgo que corren ante sus clientes, así como la incidencia de nuevos casos de hackeo.
En Morgan & Morgan velamos por tus derechos y sabemos que tu seguridad virtual* está cada día más vulnerable a ataques cibernéticos. Si tu información ha sido robada en un incidente por brecha de seguridad cibernética, contáctanos. Revisaremos tu caso y te informaremos acerca de las opciones legales que puedas tener a tu favor. Completa nuestro formulario gratuito en línea y uno de nuestros asesores podrá contactarte para evaluar tu situación.
Morgan y Morgan, hablamos tu idioma.