TalkTalk, una compañía de telecomunicaciones del Reino Unido, recibió una multa por 100.000 libras a raíz de la brecha que sufrió en 2014, por la cual quedaron expuestos los datos de 21.000 clientes.

la investigación demostró que se usaron indebidamente las cuentas de un proveedor externo

El incidente se dio a conocer en octubre de 2015, cuando reportamos que no toda la información de los clientes de TalkTalk estaba cifrada y que había posibilidades de que los números de cuentas bancarias también se hubiesen visto comprometidos.

Luego, el año pasado, un joven de 17 años se declaró culpable de este ciberataque en el Tribunal de la Juventud de Norwich, en el Reino Unido. Dijo que, en el momento del ataque, no pensó en las consecuencias de sus acciones.

Ahora, la Oficina del Comisionado de Información de este país determinó que la multa para la compañía sea de 100.000 libras porque sus medidas no eran apropiadas a nivel técnico ni organizacional para proteger los datos personales de los usuarios.

Según The Register, Elizabeth Denham, quien está a la cabeza de esta Oficina, dijo:

"TalkTalk podría considerarse la víctima. Pero las verdaderas víctimas son las 21.000 personas de cuya información se pudieron abusar las acciones maliciosas de un pequeño grupo de personas".

El Comisionado de Información halló que el nivel de acceso que tenían los representantes de TalkTalk a la información de sus clientes era injustificadamente amplio.

Sucede que la investigación que comenzó después del incidente demostró que este se había originado en el uso indebido de cuentas de Wipro, una compañía multinacional de servicios de TI en India, que trabajaba en nombre de TalkTalk resolviendo reclamos de importancia alta y problemas de cobertura.

Según el informe de The Register, los empleados de Wipro tenían acceso al portal de TalkTalk en que se alojaban todos los datos de sus clientes. Con sus cuentas, podían iniciar sesión en este portal desde cualquier dispositivo conectado a Internet, sin mayores controles perimetrales o de acceso, hacer búsquedas y ver grandes cantidades de registros a la vez. Y fueron estas cuentas las que se utilizaron con fines maliciosos para robar la información.

En septiembre de 2014, los clientes de TalkTalk comenzaron a quejarse de que eran blanco de estafas de soporte técnico. Estaban recibiendo llamadas de personas que decían ofrecerles la solución a problemas técnicos y, como los estafadores contaban de antemano con sus números de cuenta y direcciones, muchos eran propensos a caer en la trampa.

Los scammers los instaban a instalar un software de control remoto, a través del cual en última instancia podían instalar un troyano.

Una vocera de TalkTalk dijo: "Notificamos al ICO en 2014 nuestras sospechas de que un pequeño número de empleados de uno de nuestros proveedores externos estaba abusando de su acceso a información no financiera de los clientes".

Según este comunicado, se cancelaron todas las operaciones de servicio de atención al cliente en India, aunque no hay evidencia de que esos datos robados se hayan transmitido a otras partes.

De cualquier manera, el impacto de una brecha nunca es bajo y la empresa que la sufre siempre deberá afrontar un costo. En este caso, a las 100.000 libras impuestas por el ICO se suman los daños a la reputación de la compañía y la potencial desconfianza de algunos usuarios... todo lo cual probablemente se hubiese evitado instalando las medidas de seguridad adecuadas de antemano.

Sigue leyendo: Conoce tus puntos débiles y evita la fuga de datos