El hackeo que sufrió la cadena departamental Liverpool, en diciembre pasado, podría costarle al menos 107 millones de pesos, entre el resarcimiento del daño a sus clientes y eventuales multas impuestas por parte de la autoridad.
Sony fue un caso reciente emblemático de este tipo de ilícitos a nivel mundial, pero México entró a esta categoría con el reciente ataque a los sistemas de Liverpool, en el que cibercriminales accedieron a información de cuentas bancarias, direcciones y datos personales de clientes, los cuales se siguen publicando en el blog y en perfiles sociales del grupo de hackers que se adjudicó el ataque.
En el caso de Liverpool México, las pérdidas podrían ascender a al menos 88.5 millones de pesos, tomando en cuenta los ingresos de la compañía, estimó Juan Pablo Castro, director de Innovación de Trend Micro en México.
Asimismo, dicho ataque, calificado de bajo riesgo por la compañía ante la BMV, podría tener consecuencias de otra índole, incluso jurídicas, debido a la cantidad de datos filtrados por SicKillers.
"Esto podría terminar en multas, debido a la Ley Federal de Protección de Datos en Posesión de Particulares, misma que obliga a estas compañías a proteger los datos de sus clientes", detalló el especialista.
De acuerdo con el Congreso de la Unión, las multas por violar la LFPDP pueden ascender a 18 millones de pesos y tener consecuencias civiles y penales. A pesar de que el grupo no detalla cuántos registros tiene en su poder, las publicaciones de los datos de las víctimas, clientes de Liverpool, siguen siendo expuestas en distintos foros de los hackers, como su blog y actualmente su página de Facebook, incluyendo teléfonos, RFC, direcciones y cuentas de crédito.
Liverpool es el tercer mayor emisor de tarjetas de crédito en México, con 3.6 millones de plásticos, debajo de BBVA Bancomer y Banamex, de acuerdo con la Comisión Nacional Bancaria y de Valores (CNBV).
"En México el único gran caso que se ha reportado a la Bolsa Mexicana de Valores (BMV) es el de Liverpool, sin embargo, las pymes y las compañías contratistas cuyos nombres no son tan conocidos fueron las más vulneradas en el 2014", comentó Castro.
"Debido a restricciones de acuerdos de confidencialidad con los clientes, Liverpool no nos ha autorizado a comentar detalles de la solución", dijo a El Financiero IBM, proveedora de sistemas informáticos de la empresa mexicana.
Por su parte, los clientes afectados, cuyos datos han sido paulatinamente filtrados en la red, podrían llegar a causar casos de suplantación de identidad, robo a la cuenta bancaria publicada, acoso e incluso extorsión, por la naturaleza de los datos que son ahora públicos.
En 2014 el número de ciberataques a empresas aumentó 40.9 por ciento a nivel global, en comparación con el registrado durante el 2013. Sólo en México, 100 mil pequeñas y medianas empresas sufrieron este tipo de ataques, de acuerdo con estimaciones de Trend Micro en México, firma especializada en ciberseguridad.
Sólo en 2013, en todo el país las pérdidas provocadas por ciberdelincuentes ascendieron a 39 mil millones de pesos, según Symantec.
Información de Kaspersky Lab expone que el número de ataques cibernéticos contra empresas y corporaciones de 55 países fue de aproximadamente 4 mil 400, mientras que en el 2013 estos ilícitos llegaron a los mil 800 a nivel global.
Los ataques más comunes están dirigidos a los bancos y a sus usuarios, con un repunte en la banca en línea, cuyos intentos por robo de dinero sumaron 2 millones de casos en el 2014.
"Estos sectores están más expuestos por el volumen de dinero e información que manejan, pero no por eso son más vulnerables", dijo Sebastián Bortnik, gerente de Investigación y Tecnología de ESET Latinoamérica.
EXTORSIÓN Y EXHIBICIÓN DE PODER, LOS MÓVILES
Tras el anuncio de Liverpool, el 24 de diciembre pasado, sobre el ataque cibernético y el consecuente intento de extorsión, un grupo de hackers denominados SicKillers se declararon autores de la intrusión.
Las pruebas fueron las publicaciones de diversas cuentas de clientes de Liverpool, en las que incluían quejas por su bajo nivel de seguridad y por 'malas prácticas' en su operación.
"El móvil del delito en la mayoría de los casos en México es por dos cosas: dinero o exhibición de poder, en el cual se incluye una demostración de todas las habilidades de los ciberdelincuentes, sólo por diversión", detalló Juan Pablo Castro, director de Innovación de Trend Micro.