Recientemente, Inkafarma, una cadena de farmacias perteneciente al conglomerado peruano Intercorp, sufrió una filtración de datos de clientes expuestos de aproximadamente 3,9 millones de personas vinculadas a su marca.
Aunque la empresa aseguró que no se comprometió información sensible, como datos médicos o financieros, la exposición de datos personales, incluyendo números de DNI, plantea serias preocupaciones sobre la seguridad de la información en el país, sobre todo porque al mismo grupo empresarial, ya le ocurrió antes.
Puedes leer la respuesta de Inkafarma aquí.
Datos de clientes expuestos nuevamente con el caso de Inkafarma. ¿Qué hacer como empresas?
Al respecto vamos a reflexionar sobre la temática de hackeo que está volviéndose repetitiva en el Perú empezando con algunas preguntas hacia nosotros mismos:
- ¿Qué debemos considerar los emprendedores alrededor del control de la información de nuestros clientes?
- ¿Qué deben enfocar las empresas para evitar los ataques que generan datos de clientes expuestos en Internet?
- ¿Están los sistemas preparados para enfrentar ataques desde el ciberespacio?
1. Riesgos de la exposición de datos personales
Los datos de clientes expuestos en diversos entornos digitales (sobre todo a la venta) que contienen datos personales, como números de DNI, correos electrónicos y números de teléfono, puede tener consecuencias graves para los individuos afectados:
- Robo de identidad: Los delincuentes pueden utilizar esta información para suplantar la identidad de las personas, accediendo a servicios financieros o realizando transacciones fraudulentas en su nombre.
- Estafas y fraudes: Con datos personales, los estafadores pueden diseñar ataques de phishing más convincentes, engañando a las víctimas para que proporcionen información adicional o realicen pagos fraudulentos.
- Pérdida de privacidad: La exposición de información personal puede llevar a situaciones de acoso, discriminación o uso indebido de datos sensibles.
2. Medidas de protección para evitar datos de clientes expuestos
Para mitigar los riesgos asociados a la filtración en los sistemas y evitar datos de clientes expuestos en las redes es posible tomar este tipo de medidas:
- Vigilancia de cuentas: Monitorear regularmente las transacciones internas de intercambio de información entre módulos de nuestros sistemas y extracción de bases de datos.
- Actualización de contraseñas: Cambiar las contraseñas de servicios en línea y utilizar combinaciones fuertes y únicas para cada plataforma en los puntos de ingreso y salida de datos.
- Precaución con comunicaciones: Desconfiar de correos electrónicos con links maliciosos, tener un buen antivirus y sobre todo evitar que en áreas de sistemas.
- Uso de autenticación de dos factores: Implementar medidas adicionales de seguridad en cuentas en línea, como la autenticación de dos factores, para dificultar el acceso no autorizado y evitar datos de clientes expuestos.
- Gestión integral del control de los sistemas: A nivel de software y operadores, el control de la seguridad debe ser integral y pensada a favor de la información de los usuarios.
- Gestión técnica de los servidores: En muchos casos, existen servicios que permiten protegerse de ataques de diverso tipo, pero ello supone no solo contar con el personal adecuado sino aplicar detalladamente configuraciones específicas.
3. Responsabilidad de las empresas en la protección de datos
Las empresas tienen la obligación de proteger la información de sus clientes y evitar el escenario en que los datos de clientes expuestos en las redes caigan en manos equivocadas. La gestión de seguridad podría suponer:
- Implementar medidas de seguridad robustas: Adoptar tecnologías y prácticas que protejan contra accesos no autorizados y ciberataques.
- Capacitar al personal: Educar a los empleados sobre prácticas seguras y protocolos de seguridad para minimizar errores humanos que puedan comprometer datos.
- Realizar auditorías periódicas: Evaluar regularmente los sistemas de seguridad para identificar y corregir vulnerabilidades.
- Cumplir con regulaciones: Asegurarse de que las políticas y prácticas de manejo de datos cumplan con las leyes y normativas vigentes sobre protección de datos personales.
La reciente filtración de datos de clientes expuestos tras el aparente hackeo en Inkafarma destaca la importancia de que tanto empresas como individuos adopten medidas proactivas para proteger la información personal y minimizar los riesgos asociados a su exposición.
4. ¿Tiene este ataque a Inkafarma relación con el ataque a Interbank realizado en el 2024?
En octubre de 2024, Interbank sufrió un ataque cibernético que expuso datos personales de 3 millones de clientes. Un hacker accedió a sus servidores usando credenciales internas y extrajo información sensible, incluyendo DNI, correos, teléfonos y detalles de tarjetas bancarias.
Hasta la fecha, la Superintendencia de Banca, Seguros y AFP (SBS) continúa con el proceso de investigación sobre la filtración de datos ocurrida en Interbank el 30 de octubre de 2024. Según declaraciones recientes, la SBS se encuentra en la etapa de recolección de información y aún no ha establecido una fecha para la conclusión del informe final y hasta el momento, no existen evidencias de que los clientes hayan sido extorsionados tras la filtración de datos.
El hecho de que tanto Interbank como Inkafarma, empresas del grupo Intercorp, hayan sido víctimas de ciberataques en un corto período de tiempo puede no ser una coincidencia o sí, pero sí sugiere posibles vulnerabilidades compartidas en sus sistemas de seguridad digital o un interés específico de los atacantes en las empresas del grupo.
Esto refuerza la importancia de que los grupos empresariales adopten un enfoque integral de ciberseguridad, con auditorías constantes y planes de contingencia sólidos para prevenir futuras filtraciones de información para evitar que los datos de clientes expuestos afecten a los mismos.
Lo importante es que Interbank reaccionó de forma ágil como todos ya sabemos así que estimamos que en este caso también lo hará reforzando sus sistemas. Al respecto, estemos alertas haciendo seguimiento al caso y cuidando nuestra información.
5. Finalmente: ¿Es buena idea brindar datos o registrarse en los establecimientos al comprar?
Brindar datos al comprar tiene ventajas como acceder a descuentos, promociones y una experiencia más personalizada, además de facilitar devoluciones y garantías.
Sin embargo, también conlleva riesgos, como los datos de clientes expuestos que en este caso han afectado a Inkafarma y sus clientes ya que el uso no autorizado de la información e incluso la suplantación de identidad pueden ser riesgos inherentes.
Para minimizar estos riesgos, es recomendable dar solo la información necesaria, revisar las políticas de privacidad de los establecimientos y evitar compartir datos sensibles sin una razón justificada.
