Brecha de datos en Estée Lauder expone 440 millones de registros

Como usuarios, es común pensar en que los incidentes de seguridad informática sólo ocurren en compañías tecnológicas. Esta es una idea equivocada, pues de forma constante aparecen reportes sobre incidentes de seguridad de datos en toda clase de compañías. Esto es precisamente lo que acaba de ocurrir en la compañía de cosméticos Estée Lauder, que sufrió una brecha de datos en la que se expusieron alrededor de 440 millones de registros.

El incidente se presentó debido a
una base de datos sin protección, menciona Jeremiah Fowler, investigador
encargado del hallazgo. Esta base de datos expuesta contiene registros de
direcciones email sin cifrar de clientes y empleados, informes de marketing,
documentos internos, así como información sobre direcciones IP y rutas de
almacenamiento de datos. Fowler añadió que notificó al área responsable de la
seguridad informática en Estée Lauder, quienes inhabilitaron el acceso a la
base de datos de inmediato.

Poco después de recibir el
informe, Estée Lauder confirmó el incidente, mencionando que la base de datos
expuso un número limitado de direcciones email (no pertenecientes a los
clientes) registradas en una plataforma en línea. El equipo de seguridad
informática de la compañía cosmética también afirmó que no se registraron
accesos indebidos a la base de datos.

Sin embargo, los problemas no han
concluido para la compañía, pues aún debe realizar una investigación para
determinar fehacientemente que ningún actor de amenazas tuvo acceso a la
información comprometida. Además, el comunicado ha planteado más dudas para los
clientes, pues las brechas de datos en ocasiones pueden ser explotadas como
punto de acceso a las redes internas de una compañía, lo que comprometería
mayores detalles internos y de los clientes.

“Incidentes como este exponen a los usuarios a diversas actividades maliciosas. Los hackers podrían enviar correos de phishing, hacer compras en otros sitios con los datos de sus tarjetas de pago e incluso realizar ataques de suplantación de identidad”, menciona Robert Capps, especialista en seguridad informática.   

Mientras la investigación de la
compañía continúa, el Instituto Internacional de Seguridad Cibernética (IICS)
señala que el incidente podría investigarse según el Reglamento
General de Protección de Datos de la Unión Europea (GDPR), pues se
comprometieron los datos de habitantes de la UE. Cabe recordar que las multas
por incumplimiento con esta ley llegan hasta el 4% de las ganancias anuales de
la compañía multada, por lo que el incidente podría tener desastrosas
consecuencias financieras para la firma fundada en Nueva York.

Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.