Una de las brechas de datos más grandes de Reino Unido golpeó a Dixon Carphone después de que hackers trataron de robar el historial de casi 6 millones de tarjetas de crédito y datos personales de más de un millón de clientes.
La Agencia Nacional contra el Crimen de Reino Unido (NCA, por su sigla en inglés) trabaja junto con el Centro Nacional de Seguridad Cibernética, la Autoridad de Conducta Financiera y la Oficina del Comisionado de Información (ICO, por su sigla en inglés) para investigar sobre la filtración, que una vez más planteó preocupaciones sobre el nivel de cuidado que toman las empresas en el almacenamiento de datos confidenciales de los clientes.
Cerca de 5.8 millones de tarjetas afectadas tenían la protección de chip-and-pin (chip y NIP) pero 105 mil tarjetas que no pertenecen a la Unión Europea también se vieron comprometidas, de acuerdo con Dixons Carphone. Expertos de seguridad cibernética advirtieron que la brecha puede considerarse particularmente mala debido a los detalles financieros que pudieron haber sido robados, más que por la información menos sensible como los nombres y direcciones que quedó expuesta en muchos de los ataques recientes de ese tipo.
La brecha es significativamente mayor que el ataque cibernético en 2015 que golpeó a TalkTalk, en la que los hackers tuvieron acceso a los datos de casi 157 mil clientes.
TalkTalk, que surgió de Carphone Warehouse en 2010 y comparte un inversionista importante en el fundador Charles Dunstone, recibió una multa de 500 mil libras por la fuga por parte de la ICO, cuyo poder aumentó significativamente bajo una nueva ley de protección de datos que se aprobó el mes pasado.
Carphone Warehouse fue hackeada antes. En agosto de 2015, el minorista de productos electrónicos dijo que los datos personales hasta de 2.4 millones de clientes pudieron haber sido robados.
Dixons Carphone dijo el miércoles que una investigación “como parte de una revisión de nuestros sistemas y datos” reveló un intento de comprometer las tarjetas y la información no financiera en las tiendas Currys PC World y Dixons Travel en Reino Unido.
El grupo dijo al Financial Times que el ataque cibernético comenzó en julio del año pasado, pero que lo descubrieron y reportaron la semana pasada. Los gerentes no estaban al tanto de la filtración cuando emitieron una actualización de información comercial el 29 de mayo.
Las acciones de la empresa en problemas cayeron 3.3 por ciento para llegar a 1.91 libras en las primeras operaciones en Londres. “La brecha de datos de TalkTalk que ocurrió hace más de tres años todavía se siente. Esto puede provocar problemas a Dixons Carphone en los próximos años”, dijo Nigel Hawthorn, portavoz de privacidad de datos para Europa de McAfee. “La mayoría de las fugas de datos en Reino Unido no involucran detalles de las tarjetas de crédito, así que esto puede ser un gran problema”.
Los datos a los que apuntaron los hackers incluyen números completos de las tarjetas, pero no códigos NIP o los detalles de verificación de la tarjeta utilizadas para autorizar las transacciones, de acuerdo con Dixons Carphone. El director ejecutivo, Alex Baldock, dijo que la compañía todavía no encuentra evidencia de fraude como resultado de la violación de datos.
“La protección de nuestros datos tiene que estar en el corazón de nuestro negocio, y nos hemos fallado en esto”, dijo. “Estamos decididos a corregir esto y tomamos medidas para hacerlo”.
Bajo el nuevo proyecto de ley de protección de datos de Reino Unido, que incorpora normas de protección de datos europeas de largo alcance, las empresas tienen 72 horas para informar a los reguladores que se produjo una brecha de datos. Bajo las nuevas reglas, la ICO puede multar a las empresas hasta con 4 por ciento de la facturación anual global, en comparación con la multa máxima anterior de 500 mil libras.
Sin embargo, al parecer la brecha de datos de Dixons Carphone ocurrió antes de que se introdujeran las nuevas reglas y se tratará bajo el antiguo régimen. Este mes, la ICO emitió dos sanciones bajo el antiguo régimen por violaciones que ocurrieron antes de que entraran en vigor las nuevas reglas.
La ICO dijo: “Se nos informó de un incidente que involucra a Dixons Carphone y estamos en contacto con el Centro Nacional de Seguridad Cibernética, la Autoridad de Conducta Financiera y otras agencias relevantes para determinar los detalles y el impacto en los clientes. Cualquier persona preocupada por la pérdida de datos y la forma en que podrían utilizarse debe seguir el consejo de Action Fraud (el servicio nacional de reporte de fraudes)”.
Además de los datos de las tarjetas de crédito, Dixons Carphone descubrió que se tuvo acceso a 1.2 millones de registros con datos personales no financieros, como nombres, direcciones o direcciones de correo electrónico. Dixons dijo que “no hay evidencia de que esta información salió de nuestros sistemas o resultara en un fraude en esta etapa”. Las tarjetas chip-and-pin se conectan con las terminales de pago para crear un código de transacción único, lo que significa que los minoristas almacenan menos información.
Las brechas de datos son una amenaza cada vez mayor en todas las industrias, especialmente en Europa, donde en los últimos años se endurecieron las regulaciones sobre la información personal. El año pasado hubo mil 756 brechas, según los datos de Gemalto, una compañía de seguridad cibernética.