UPS notificó a clientes por brecha de datos: La empresa fue criticada por manejo comunicacional del incidente.

A través de un mensaje que se asemejaba más a una campaña de concientización, la empresa está informando a varios usuarios sobre un incidente que compromete los datos que almacenaba la compañía y que habría sido utilizado para ataques de phishing.

La empresa multinacional de envíos UPS ha comenzado a informar a varios clientes en Canadá que parte de la información personal de estos y que la empresa custodiaba, estarían potencialmente comprometidas en un incidente de phishing.

La empresa confirmó que los atacantes abusaron de una herramienta de búsqueda de paquetes para obtener información sobre la entrega habiendo obtenido los números de teléfonos de los destinatarios. Con esta información los cibercriminales estarían exigiendo a las víctimas un pago antes que se produzca la entrega de los paquetes.

El incidente se extendió por más de un año, entre febrero de 2022 y abril de 2023. Los datos involucrados serían el nombre del destinatario, la dirección de envío y el número de teléfono y número de pedido.

Algunos medios señalan que los actores de amenaza han suplantado a las marcas Lego y Amazon, las que utilizan el servicio UPS para distribuir sus productos.

A través de un portavoz la empres señalo que estaban al tanto de lo ocurrido y estaban trabajando con sus socios en la cadena de suministros, además de agentes externos y la policía, para comprender como se desarrollaba el fraude.

De igual manera señalaron que estaban notificando a los usuarios potencialmente afectados a través de cartas de notificación de incidentes. Fue este último aspecto el que llamó la atención de algunos medios especializados y analistas, dado que la estrategia de comunicación escogida por UPS para dar cuenta de la violación de datos no ha sido la correcta.

La crítica no solo está de la mano de la notificación por carta, sino del mensaje, el que da la impresión de que se trata de una campaña de concientización y no de una notificación del incidente.

Algunos afectados compartieron en redes sociales el documento de notificación, cuyo título es “Luchando contra el phishing y el smishing – una actualización desde UPS”. El documento, en sus primeros tres párrafos, describe de qué se trata el phishing y entrega un contacto en caso de haber sido víctima de un incidente de este tipo, pero solo a partir del cuarto párrafo notifica a las personas sobre lo ocurrido y el potencial impacto para éstos.

El problema de la notificación escogida por la empresa es, que muchos usuarios afectados pudieron haber desechado la información antes de leer que sus datos podrían estar comprometidos en el incidente, lo que habla de un mal manejo comunicacional del asunto por parte de la empresa.