En abril de este año, un ataque cibernético sacudió al sistema financiero mexicano a través del Sistema de Pagos Electrónicos Interbancarios (SPEI). La historia se repitió en octubre con la asegurada Axa como víctima.
Pese a que la firma de seguros señaló que ni sus usuarios, ni los recursos de estos sufrieron afectación alguna, el suceso mostró lo atractivas que se convirtieron las grandes compañías para los cibercriminales.
Sin embargo, no solo estos ‘peces gordos’ aparecen en el radar de los atacantes. Las startups también están en la mira.
La compañía auditora en ciberseguridad Advisability hizo público en el servicio de blogs Medium un reporte que detalla fallas de seguridad en la app colombiana de entregas a domicilio, Rappi.
De acuerdo con la publicación, estas fallas probablemente permitieron obtener datos personales de los usuarios de Rappi en varios países, así como datos parciales de sus tarjetas de crédito e identificadores (tokens) en el sistema de almacenamiento.
“Es probable que estas fallas pudieran ser usadas para asociar las tarjetas de crédito almacenadas con cuentas de terceros y proceder a realizar cargos no autorizados, como se observa en varios reportes en las redes sociales”, señaló la consultora.
Advisability recopiló reportes de usuarios de Rappi en redes sociales. Varios de ellos denunciaron que sus tarjetas fueron clonadas y usadas posteriormente en la misma aplicación para realizar compras.
En el caso de una amiga le clonaron la tarjeta lo primero que le preguntaron en el banco era si la tenía inscrita en @RappiColombia que ellos reciben muchos casos así vinculados con esta aplicación.
— Catalina Caro Chaves (@catacaro87) June 28, 2018
Me pasó igual con una compra. Crearon otra cuenta en rappi con mis datos y a media noche compraron por la app. .. Habla con tu banco.. Y por mil quejas en rappi por la aplicación.. Toma pantallazos de todo, especialmente de tu última compra…
— 🐺🐺 Alemán 🇨🇴 (@aleman_jav) October 7, 2018
Cuidado con @RappiColombia te sacan retiros en efectivo que nunca has solicitado revisen el centro de ayuda si les está pasando, a mi me robaron. pic.twitter.com/FjjvO7QfIm
— Luis Felipe Henao (@luisfelipehenao) August 19, 2018
Por otra parte, el ejercicio realizado por Advisability demostró que Rappi tardó 61 días para solucionar la falla.
EL CEO buscó obtener el punto de vista de la startup, sin que hasta la publicación de esta historia proporcionara una respuesta al respecto.
Eduardo Palacio, especialista en ciberseguridad en IBM, dijo que ahora los hackers pueden dirigir sus campañas a corporaciones grandes o apostar por el volumen, que representa ir por startups o pequeñas y medianas empresas.
Esta profesionalización del crimen también nos lleva a que se vaya segmentando el cibercrimen en sus esfuerzos. Pueden decidir atacar a un pez gordo como los bancos afectados por el SPEI o decidirse por atacar el volumen, donde vemos que las pymes y startups padecen más, porque el cibercrimen aviva vulnerabilidades de manera puntual
Eduardo Palacio, especialista en ciberseguridad en IBM
Una de las principales desventajas para las startups, según el especialista, es que no cuentan con una infraestructura tan robusta como la que podría tener una organización consolidada.
“Es un primer punto de vulnerabilidad natural”, aseguró. Otro punto de debilidad que comparten con las grandes empresas es la falta de talento y una cultura de seguridad.
Seguridad fuera de las prioridades
De acuerdo con el portal especializado Welivesecurity, de la firma de seguridad ESET, las startups suelen pensar que no tienen nada qué proteger y olvidan que “todo negocio posee algo que lo vuelve único. Por ello, resguardar su información es también blindar su know-how y su ventaja competitiva”.
Luis Baeza, líder de ecosistema IBM, comentó que al trabajar con diversas startups ha visto que su forma natural se encuentra en una idea increíble que se empieza a construir lo más rápido posible.
Aunque, “en el querer ganar más clientes y mejorar productos, algunas veces pierden de vista el tema de la seguridad cuando es algo muy importante. Una brecha de seguridad está valuada en millones de dólares para las grandes compañías”, puntualizó el especialista.
Las startups nacen en búsqueda de un modelo de negocio escalable y repetible. Es por eso que, de acuerdo con Welivesecurity, generalmente concentran la mayor parte de sus recursos en el desarrollo de productos, promoción de la marca, captación de clientes y más actividades que ayudan directamente al crecimiento del negocio.
Baeza ejemplificó que algunas de estas saben que deben hacer algo al respecto, pero no conocen cómo resolver las posibles fallas de seguridad.
“Deciden seguir avanzando. El problema es cuando quieren venderle a empresas más grandes, que por lo menos tienen un firewall en seguridad. Les dirán que no pueden usar su servicio porque no tienen cumplimiento con las políticas de seguridad”, agregó Baeza.
En ciertos casos no prevén que alguien tome su portal web y lo suplante para enviar registros e interacciones al portal falso. Si no cuentan con tecnología para saber que alguien duplicó su portal y esta envía transacciones bancarias falsas, podrían tener problemas serios.
Hasta 247 dólares por dato robado a startups
En 2018, según datos de IBM, una brecha de seguridad tenía un costo aproximado de 3.86 millones de dólares. Aunque, dependiendo del tamaño de la organización podría incrementar hasta 39 o 49 millones de dólares.
Palacio explicó que el impacto económico para las startups corresponde al número de registros y datos que manejan.
Comenta que el costo por dato es de 148 dólares, pero este incrementa a 247 dólares si se trata de un dato financiero. El más costoso, por ahora, es el dato de salud que representa un valor de 408 dólares.
No vale lo mismo tu dirección que tú número de tarjeta de crédito
precisó el especialista.
En el caso de Rappi, Palacio comentó que las startups que manejan datos de tarjetas deben contar con estándares y controles que atiendan el riesgo de perder información financiera de sus clientes.
Tanto organizaciones consolidadas como startups tienen como misión garantizar la seguridad de sus usuarios y de su información.
“Las startups están naciendo digitales, mientras que una empresa grande está en la reinvención digital. En ambos casos el mandato es el mismo: la seguridad debe ser parte integral de esa transformación o de ese nacimiento. La seguridad va a ser el componente que permita a las organizaciones desenvolver o prosperar en libertad”, concluyó Palacio.