Dell sufre un potencial data breach

El 14 de noviembre, quienes tienen una cuenta en dell.com se sorprendieron con un reset forzado de sus contraseñas. La incertidumbre se mantuvo hasta el día 29 de noviembre, cuando finalmente Dell explicó que el motivo de esto se debió a haber detectado y detenido los esfuerzos de cibercriminales intentando penetrar sus redes, el día 9 de noviembre.

En una declaración, Dell dijo que no tiene pruebas concluyentes de que se hayan filtrado los datos, pero existe la posibilidad de que el actor malicioso haya podido obtener nombres, direcciones de correo electrónico y contraseñas de hash para los clientes de la tienda en línea de Dell.

Dell le explicó a Reuters que no había requisitos legales o reglamentarios para que notificara a sus clientes por qué se les obligaba a cambiar sus contraseñas. Y Dell también se mantuvo en silencio sobre cuántas cuentas pueden haber sido afectadas por el ciberataque.

Si bien es posible que Dell no tenga ninguna responsabilidad regulatoria para enfrentar rápidamente un posible ataque cibernético y una violación de datos en este caso, las empresas están sometidas a un mayor escrutinio cuando se trata de protección de datos. Por lo tanto, una dosis anterior de mea culpa podría ser más beneficiosa para Dell que el hecho de que parece forzar un restablecimiento de la contraseña en los clientes.

La acción de Dell de restablecer las contraseñas sin informar a las víctimas potenciales de la razón por la que varios ejecutivos de la industria se enfrentaron a la ira.

“Esta incomprensible acción de restablecimiento masivo de contraseñas puede dañar la reputación de Dell de ser un proveedor que se preocupa por la seguridad y la privacidad de la información. El restablecimiento de contraseña preventivo sin duda puede ser útil; sin embargo, debe ir acompañado adecuadamente con explicaciones y pasos próximos transparentes ”, dijo Ilia Kolochenko, CEO de High-Tech Bridge. Sin embargo, en este caso, “las víctimas potenciales de la presunta violación son abandonadas en la oscuridad y la ambigüedad”.

Y es que la práctica deficiente pero común de reutilizar las mismas contraseñas en distintos sitios es otra razón por la cual la notificación debería haberse realizado de inmediato. Al no hacerlo, cualquier otro sitio con las mismas credenciales se pone en riesgo.

Los ciberdelincuentes a menudo compran o roban credenciales para acceder a otros sitios donde se pueden almacenar datos más valiosos, sabiendo que es probable que los clientes reutilicen estas mismas contraseñas en varias cuentas. Por ejemplo, Dunkin ’Donuts explicó en una declaración del 29 de noviembre que así era como se accedió ilegalmente a algunas de sus cuentas de recompensa al cliente recientemente.

“Si bien podría haber aspectos legales involucrados que desconocemos, una empresa siempre debe cuidar su reputación y actuar de forma ética. Sus clientes no pueden quedar ante una situación de incertidumbre y se debe considerar siempre el potencial peligro al que estos se exponen, considerando que aún las prácticas de ciberhigiene de los usuarios no es la óptima”, explica Fernando Lagos, Director de Nivel4.