Según publicó ayer El País, unos ciberdelincuentes han robado los datos de más de 120.000 usuarios de una empresa española dedicada a prestar servicios de registro de nombres de dominio: datos personales, teléfonos, números de cuentas y tarjetas de crédito, direcciones de correo electrónico… El periódico no cita cuál es la empresa, pero por la cifra de clientes el nombre queda circunscrito a tan sólo unas cuantas. Es posible que el ataque se haya realizado desde servidores situados Estados Unidos o Rusia, aunque claro, quizá sólo hayan sido utilizados como pantalla intermedia. Será bastante difícil encontrar el punto verdadero desde el que se ha realizado.
El artículo menciona que estos delincuentes han podido utilizar datos personales de usuarios y de empresas españolas que tenían contratados los servicios de esta empresa en cerca de 10.000 ocasiones. Es muy curioso cómo la primera alerta la dieron los mismos usuarios, porque notaron que alguien había modificado sus páginas web.
Acens se ha apresurado a publicar en su web una nota de prensa donde se desvincula del ataque. También Arsys ha enviado a sus clientes un correo electrónico asegurando que no es la afectada, y a la Asociación de Internautas el siguiente comunicado:
Como consecuencia de las informaciones aparecidas en varios medios de comunicación, ante la similitud de la descripción de la empresa con arsys.es y la alarma que ha podido generar entre nuestros clientes, queremos informar de lo siguiente:
1.En el mes de abril, arsys.es detectó un incidente de seguridad que no se corresponde en su totalidad con el descrito en los medios.
2.En el incidente sufrido por arsys.es se vio comprometida parte de la información de los datos de algunos de nuestros clientes, pero en ningún caso se vieron comprometidas contraseñas o claves de cuentas de correo electrónico, ni bancarias, ni de tarjetas de crédito. Por lo tanto, no ha existido riesgo de uso indebido de los datos para cometer fraude electrónico o de acceso al contenido de las cuentas de correo de nuestros clientes.
3.Posteriormente, y con las claves FTP obtenidas por los delincuentes, se recibió un ataque contra aproximadamente un 1,5% de los sitios web alojados en arsys.es. La consecuencia de este ataque fue la inserción en dichas páginas web de un enlace hacia un servidor externo desde el que se descargaba un código malicioso.
4.Arsys.es, inmediatamente detectado el incidente, adoptó las medidas técnicas y organizativas oportunas. De inmediato se eliminaron los enlaces de las páginas web afectadas, y se establecieron todas las medidas preventivas a nuestro alcance. Se informó puntualmente a los clientes afectados, y se recomendaron medidas de seguridad complementarias a la totalidad de los clientes.
5.Arsys.es, cumpliendo los requerimientos legales y con la diligencia debida, concluyó las acciones realizadas en relación con esta incidencia con la presentación de una denuncia ante el Grupo de Ciberterrorismo del Servicio de Información de la Dirección General de la Guardia Civil. Aplicando criterios de prudencia y proporcionalidad, y como no puede ser de otra forma, arsys ha mantenido la máxima discreción posible para no entorpecer las investigaciones policiales y judiciales pertinentes.
Arsys Internet S.L.
Sea la empresa que sea, seguro que su nombre trascenderá, y su reputación sufrirá un serio revés. Su reputación y su cartera de clientes. Y lo primero que debiera haber hecho es emitir un comunicado de prensa explicando qué ha sucedido en realidad. Será peor cuando se haga público, porque habrá querido ocultar lo que ha sucedido, y los clientes pasarán factura.
Tenemos que empezar a acostumbrarnos a este tipo de acontecimientos que sucederán cada vez más a menudo.
El grupo de asociaciones que mencioné hace un tiempo (EPIC, Centre for Digital Democracy, y el U.S. Public Interest Research Group) amplió la petición a la Federal Trade Commision el miércoles pasado para que revise la compra de DoubleClick por parte de Google. Entre otras cosas, piden que sólo se le permita a Google recoger información personal después de tener el permiso de los usuarios, y darles el derecho a acceder a ella y si lo deciden, borrarla. En términos europeos, informar con carácter previo de qué datos se van a recoger, para qué se van a usar, y garantizar tanto el derecho de acceso como el de cancelación.También se solicita la prohibición de que se mantengan almacenados los datos del usuario más tiempo del necesario, y que no sea posible cruzar los datos de los usuarios de Google con los de DoubleClick.