Publicados en un archivo que pesa más de 38 GB, los datos de clientes de Cencosud fueron obtenidos a través de un Malware conocido como Egregor.
Este rasomware, durante octubre, atacó a Barnes & Noble, Ubisoft y Crytek.
Según expertos en ciberseguridad, Cencosud se habría negado a pagar el rescate y, por esta razón, el grupo de hackers ha comenzado a publicar la información a través de servicios web.
En Chile, como la información de tarjetas y otras formas de pago las maneja una plataforma bancaria, no estarían expuestos datos sensibles de los clientes.
De acuerdo a un informe publicado por Digital Shadows, a partir de este 17 de noviembre, Egregor ha cobrado más de 71 víctimas nivel mundial, de las cuales 19 son industrias verticales.
Manuel Moreno, asesor de ciberseguridad de la Fundación Datos Protegidos y que ha investigado el caso, señala que «las empresas relajan sus controles de seguridad al no existir una ley de protección de datos personales que sancione correctamente estas infracciones. Esta ley está durmiendo en el Senado hace mucho tiempo y no ha seguido avanzando por el lobby que se ha hecho para frenarla», acusa.
Sobre el robo de datos, cuenta que «no hay problema en que una empresa sea atacada, lo importante es cómo manejan o administran la información sensible de las personas; este es un tema que debería ser parte de una ley que obligue a las empresas a cumplir con mínimos estándares de seguridad y que en caso de no cumplirlos o de sufrir una brecha de seguridad con fuga de información, sus ejecutivos deberían recibir sanciones en dinero y también penales. Hoy lo mas complicado es que estas bases de datos que contienen información privada de las personas se podría comenzar a vender entre empresas o de forma clandestina».
Por otra parte, Moreno destaca que aún no ha logrado descargar de forma completa el archivo que contiene los datos, porque el servidor que lo aloja esta muy colapsado, pero en lo que ha podido ver hay principalmente números de tarjetas de crédito, direcciones, RUT de personas y correos electrónicos de clientes de Chile y de Argentina».
El sistema de Cencosud, durante el fin de semana anterior, estaba caído y los clientes tenían problemas para usar sus tarjetas y canjear puntos, especialmente en tiendas Jumbo y Easy.
Para Pedro Huichalaf, docente e Investigador en ciberseguridad de la Universidad Mayor, lo relevante es que no existe un ley que regule o establezca estandartes de ciberseguridad tanto en el ámbito publico o privado. «Sí han aparecido algunas regulaciones sectoriales a través de decretos en empresas reguladas como en bancos, telecomunicaciones y electricidad, y este gobierno tienen prometido desde 2018, un proyecto marco de Ciberseguridad que aun estamos esperando que lo presente al congreso», señala.
Huichalaf, quien fue subsecretario de Telecomunicaciones durante el gobierno de Michelle Bachelet, remarca que «el sector retail no cuenta con normas o estándar obligatorio de ciberseguridad y, en el caso de Cencosud, hay una absoluta responsabilidad de la empresa de contar con los estandartes de seguridad suficientes que hayan impedido esta brecha que existió. Es importante saber si existe información de chilenos publicado en la red y si han implementado medidas para que este evento no se vuelva a repetir».
El gobierno de Sebastián Piñera nombró a un delegado presidencial de ciberseguridad, pero luego de las renuncias de Jorge Atton y Mario Farren el cargo se encuentra vacante desde marzo de 2020, en plena pandemía y en el auge del trabajo remoto.
Cencosud es el karma que viene por tus fechorías 🤣🤣🤣🤣😂😂😂😂😂😂