YoTePresto: 1.4 millones de correos electrónicos

El correo electrónico es un dinosaurio que ha sabido reinventarse en un ambiente donde los recursos cambian y evolucionan a la velocidad de la luz. Es una creación de otra época con la actitud y la energía de un adolescente. El correo se volvió imprescindible en la economía digital y libró la sentencia de muerte que le dictaron los expertos con la llegada de las redes sociales.

El correo es la llave de acceso a los servicios de la economía digital. Es la forma de contacto con los servicios tributarios, con las tiendas de comercio electrónico y con los proveedores de entretenimiento, como Netflix o Spotify. Es la vía para configurar los sistemas operativos de los teléfonos móviles, el aparato tecnológico más relevante para la vida cotidiana urbana: las cuentas de iOS de Apple y Android de Google exigen un correo electrónico; sin él sería imposible utilizar el teléfono.

Hay mil y un maneras de crear el nombre de una cuenta de correo. Se pueden utilizar números o letras o una combinación alfanumérica. Se puede utilizar un seudónimo, una palabra clave, las iniciales del propietario o su nombre completo. Si se trata de cuentas corporativas, que llevan el nombre de la compañía o de una institución pública después del símbolo arroba (@), habrá reglas concretas: utilizar el nombre completo del empleado o las iniciales de su nombre seguidas de su apellido o sólo su apellido, etecé. Por ejemplo, un correo personal del presidente es andresmanuel@lopezobrador.org.mx. Para citar al clásico: cada quien se mata los piojos como puede cuando se trata de crear una cuenta de correo.

El correo electrónico es como el número telefónico o el domicilio de una persona, ha concluido el Inai, la oficina pública para la transparencia y la protección de datos personales en México, en referencia a que el correo es un identificador personal único, individualizado, que puede identificar o hacer identificable a una persona física. Pero a diferencia del número telefónico, para el correo no existe portabilidad: si pierdes tu cuenta, la hackean, cambias de corporación o desaparece el proveedor que te la ofrecía (Gmail, Hotmail, Outlook, iCloud o como se llame), tendrás problemas para ingresar a los servicios digitales vinculados con ese correo.

Por eso es grave lo ocurrido con YoTePresto, una compañía financiera de base tecnológica (fintech) que sufrió un incidente de seguridad de la información en junio pasado. El incidente dejó expuestos a personas no autorizadas los correos y las contraseñas de acceso a sus servicios de todos sus 1.4 millones de usuarios. En la lista están los clientes que han solicitado préstamos y las personas que han financiado esos préstamos. Luis Rubén Chávez, fundador y director de esta compañía mexicana, posible sólo en una economía digitalizada, aseguró que ningún cliente de YoTePresto se había visto afectado por movimientos no autorizados en sus cuentas. También dijo que ningún dato personal se había comprometido.

Puede tener razón en que ningún cliente de YoTePresto vio afectaciones en sus cuentas, ¿pero puede estar seguro de que los correos expuestos no identifican ni vuelven identificables a sus propietarios? ¿Puede estar seguro de que los usuarios afectados no tendrán afectaciones en otros servicios digitales? ¿Puede estar seguro de que no serán víctimas de robos, extorsiones, fraudes, phishing ni de otras innovaciones del mundo criminal digital?

Un pirata informático no necesita instrucciones para robar a los clientes de YoTePresto. Le basta con conocer la autenticidad de un correo y el uso que le da su propietario para diseñar su estrategia criminal. La compañía de ciberseguridad Kasperksy alertó que durante el segundo trimestre de 2020, en plena pandemia, los atacantes digitales intensificaron sus acciones criminales a través del uso de correos para robar información o crear accesos remotos a los equipos de cómputo de sus víctimas.

YoTePresto sugirió a sus usuarios cambiar las contraseñas de los servicios vinculados con el mismo correo que utilizan para ingresar a YoTePresto. Es una medida de remediación obligada, ¿pero será suficiente para proteger el patrimonio de los afectados?

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios