Robinhood Markets Inc. anunció el lunes una vergonzosa violación de seguridad que expuso la información personal de millones de sus usuarios, lo que será de especial preocupación para los aproximadamente 300 clientes cuya privacidad se vio más comprometida.
La mayoría de los 7 millones de cuentas afectadas tenían solo un dato personal expuesto: el nombre del usuario o su dirección de correo electrónico. Pero en unos 310 casos se descubrieron datos más sensibles, como la fecha de nacimiento y el código postal, así como el nombre completo del usuario.
A unas 10 de esas personas se les “revelaron detalles más extensos de la cuenta”, informó Robinhood, agregando que la compañía está en el proceso de “hacer las divulgaciones apropiadas” a esos usuarios.
Ningún número de seguridad social, cuenta bancaria o tarjeta de débito se vio comprometido y ningún cliente sufrió pérdidas financieras como resultado del incidente, dijo Robinhood. Al menos, no todavía.
El peligro es que la información expuesta podría utilizarse para facilitar más ataques del tipo que reveló los datos de los usuarios en primer lugar.
Atributos como la fecha de nacimiento y la dirección física son difíciles de cambiar y se utilizan habitualmente como controles de verificación al iniciar sesión en diversos servicios.
El fallo de seguridad que afectó los datos de Robinhood se produjo a través de un empleado del servicio de atención al cliente, cuya cooperación se utilizó para obtener acceso a los sistemas de soporte internos.
Aunque Robinhood no ha revelado cuánto tiempo tardó en informar a los usuarios afectados de la intrusión de la semana pasada, ese es el periodo en el que el riesgo habría sido mayor.
Ahora que están al tanto de la violación, la mejor medida para los clientes afectados es modificar los controles de seguridad que dependan de su fecha de nacimiento y practicar una buena higiene de seguridad en línea, como la autenticación de dos factores y el escepticismo hacia los correos electrónicos de remitentes desconocidos.
Robinhood dijo que contuvo la violación, notificó a la policía y contrató a la empresa de seguridad Mandiant Inc. para investigar el hecho. El director de tecnología de Mandiant, Charles Carmakal, dijo que Robinhood “realizó una investigación exhaustiva para evaluar el impacto”.
Sin embargo, la máxima de la compañía de “la seguridad es lo primero”, repetida a menudo por los ejecutivos, sonará vacía para los millones de usuarios que ahora son un poco más vulnerables a los ataques de phishing y al grupo más pequeño que tendrá que estar más alerta porque eligió utilizar la plataforma de libre comercio.