Sancionan a Cencosud por no proteger adecuadamente los datos de sus clientes

La Agencia de Acceso a la Información Pública sancionó al grupo Cencosud SA por no cumplir con una serie de normativas de protección de datos luego de que esta compañía fuera víctima de un ataque informático.

La Dirección Nacional de Protección de Datos Personales inició una investigación de oficio, enfocándose en el hecho de que la filtración de la información ponía en riesgo los principios de seguridad y confidencialidad de datos de los que Cencosud tenía que ser garante para sus clientes.

El organismo le exigió a la compañía que confirmara el incidente, que detallara las vulneraciones sufridas, la medidas tomadas para mitigar el daño y prevenir futuros incidentes, señalara si se filtró información confidencial y datos personales y que medidas fueron tomadas si esto se produjo.

Respuesta y conclusiones

Cencosud confirmó el incidente pero afirmó que el malware solo había tenido un efecto leve, sin comprobarse la existencia de daños. La empresa instaló una nueva solución de protección para unidades de trabajo y servidores, implementó una herramienta de gestión de vulnerabilidades y un servicio de monitoreo y análisis de actividades o eventos de seguridad para responder de forma proactiva futuros ataques.

La DNPDP apuntó que Cencosud había fallado al no detallar las vulneraciones sufridas, no brindó una explicación exhaustiva de las medidas tomadas como prevención previas y posteriores al incidente. No respondió si se había producido una filtración de datos personales e información confidencial y tampoco informó debidamente a sus clientes para prevenir que fueran víctimas de acciones fraudulentas. El organismo también apuntó que tenía conocimiento de clientes a los que les habían llegado correos con intentos de phishing.

La multa aplicada fue de $290.000 por las infracciones a la ley 25.236 de Protección de Datos Personales.

Millones de clientes

Según indicaron expertos en el tema, Cencosud posee una propia tarjeta de crédito, por lo que los hackers podrían utilizar este tipo de información para efectuar compras y así robar dinero de forma directa a los clientes.

En el sitio Segu.info, publicaron que el sistema utilizado para extorsionar a Cencosud es un ransomware llamado Eregor, que vendría a ser el sustituto de Maze, uno de los más utilizados en el mundo cibernético. La empresa tendría tres días para llegar a un acuerdo o poder recuperar la información de sus clientes.

Por su parte, el sitio especializado en esto sistemas indicó que "el 1 de noviembre, el grupo Maze anunció su ‘retiro’, señalando que no había un ‘sucesor oficial’ y que el soporte para el malware finalizaría después de un mes. Malwarebytes notó una caída en las infecciones desde agosto y por eso dice que la retirada de la escena 'no es realmente' un movimiento inesperado. Sin embargo, eso no significa que los clientes anteriores de Maze también abandonarían el mercado, y los investigadores sospechan que 'muchos de sus afiliados se han mudado a una nueva familia' conocida como Egregor, una escisión del Ransom Sekhmet".

Los hackers habrían pedido millones de dólares para no difundir información de los clientes

Notificación del hackeo a Cencosud

Frente al suceso, el sitio El Editor Platense, publicó la imagen de la "ransom note", es decir, la notificación del hackeo junto con las instrucciones a seguir para recuperar la información.

Al llegar a las oficinas oficiales de Cencosud, la nota salió automaticamente de las impresoras de diferentes locales tanto de Argentina como de Chile.

La nota decía:

¿Qué pasó? Tu red fue atacada, tus computadoras y servidores fueron bloqueados, tus datos privados fueron descargados.

¿Qué significa eso? Significa que pronto los medios de comunicación, sus socios y clientes se conocerán.

¿Cómo se puede evitar? Para evitar este problema debe ponerse en contacto con nosotros DENTRO DE TRES DÍAS.

¿Y sino lo contactamos en tres días? Comenzaremos la publicación de datos.

Eso puedo manejarlo solo. Es su derecho pero en este caso todos los datos serán publicados.

No tema a esta amenaza! Esta no es la amenaza, sino el algoritmo de nuestras acciones. Si tienes cientos de millones de dólares no deseados no hay nada por qué preocuparse, esa misma es la cantidad exacta de dinero que gastará para la recuperación y los pagos.

Me convenciste. Entonces necesitas contactarnos, hay algunas formas de hacerlo...

Recomendada el método más seguro:

a) Descargar un navegador especial

b) Instalar el navegador

c) Abre nuestro sitió web con chat en vivo en el navegador tor y siga las instrucciones de esta página.

Si el primer método no es adecuado para vos

Abre nuestro sitio web con nuestro chat en vivo en el tor..."

Asimismo, la segunda hoja del ransomware agrega información:

"¿Qué obtendré en caso de un acuerdo? Obtendrás el descifrado completo de sus máquinas en la red, la confirmación del listado completo de la pila de la eliminación de datos (SIC) descargados de nuestros servidores, la recomendación y la confidencialidad completa sobre el incidente...".

Finalmente, la empresa decidió no pagar el rescate por lo que los datos habrían quedado expuestos.