En la era digital hay tres clases de compañías: las que van a ser hackeadas, las que ya fueron hackeadas y las que volverán a ser hackeadas. Mercado Libre es la nueva chica en el barrio de los ataques cibernéticos que se conocen públicamente.
La noche del domingo 6 de marzo, los sistemas informáticos de Mercado Libre —un monstruo del comercio electrónico que en 2021 facturó 7,000 millones de dólares— fueron objetivo de un ataque que logró acceso a su código fuente, las líneas de software que permiten construir la página web. La o las personas atacantes accedieron a datos de 300,000 usuarios de Mercado Libre a escala global (0.21% del total de usuarios de la compañía de comercio electrónico). En México se vieron afectadas 50,000 cuentas (0.03%).
De acuerdo con su equipo de prensa, “ningún dato crítico” resguardado por Mercado Libre, “como contraseñas, datos de tarjetas, saldos de Mercado Pago”, fue obtenido por la o los atacantes. “La cuenta como tal de ningún usuario fue comprometida”, apenas se obtuvieron los nombres de las cuentas afectadas y de los correos electrónicos vinculados. “Tampoco hubo compromiso de nuestra infraestructura ni acceso a nuestras bases de datos. Ningún servicio ni plataforma se vio afectada en su operación”, me dijo el equipo de comunicación.
La gravedad, entonces, habría sido menor, pero no tanto como para evitar comunicarla. Uno de los principales activos de las compañías de la economía digital, y sobre todo de las firmas operadoras de comercio electrónico, es su reputación. Comunicar el éxito de un ataque cibernético, así sea un éxito menor, debe ser muy doloroso para una compañía tecnológica seria.
Mercado Libre cotiza en la bolsa de Estados Unidos y está obligada por la SEC, la autoridad estadounidense del mercado de valores, a comunicar sobre ciberataques (una nueva regulación de la SEC pretende obligar a las compañías en bolsa a que comuniquen en un plazo máximo de cuatro días).
En México, en términos de la ley de protección de datos personales, Mercado Libre está obligada a comunicar sólo a los titulares de los datos de las cuentas afectadas y sólo en caso de que la vulneración de seguridad “afecte de forma significativa los derechos patrimoniales o morales de los titulares” (artículo 20). En este caso, a los titulares de las 50,000 cuentas involucradas.
Si el ataque no fue grave, Mercado Libre actuó de manera proactiva con sus usuarios, lo que se agradece, comunicando sobre el incidente y ofreciendo consejos de seguridad para actuar en consecuencia.
Mercado Libre es una sobreviviente de la crisis de las puntocom de 2001, pionera en el comercio electrónico de América Latina y la compañía digital más grande del subcontinente, que ingresa 4,600 millones desde el comercio electrónico y 2,400 desde un boyante negocio financiero, a través de Mercado Pago y Mercado Crédito (esta vertical creció 72% en 2021 frente a 2020). Para 2022 anunció una inversión en México de casi 1,500 millones de dólares (no podía ser de otra manera, si su negocio aquí se duplicó en 2021 hasta los 1,172 millones de dólares).
Su balance financiero a la SEC no especifica el presupuesto que destina a seguridad y protección de la infraestructura (hardware y software), pero sí deja que el “proceso de actualización es costoso y la creciente complejidad y mejora de nuestro sitio web genera costos más altos”, pues una falta de mantenimiento “podría dañar materialmente nuestro negocio y nuestra capacidad para recaudar ingresos”.
Mercado Libre tiene claro que parte de su negocio se sostiene en la seguridad de la información. “Nuestra capacidad para operar nuestro negocio día a día depende en gran medida del funcionamiento eficiente de nuestra infraestructura de tecnología de la información y de nuestros proveedores de nube, el más grande de los cuales es Amazon Web Services. Hemos sido y somos susceptibles de ataques a nuestros sistemas u otras vulneraciones de seguridad por parte de terceros no autorizados”, se lee en su informe financiero para 2021.
Y a pesar de todo esto, la noche del domingo 6 de marzo Mercado Libre sufrió una vulneración de gravedad suficiente para ser comunicada. Si un gigante del comercio electrónico y las fintech (servicios financieros digitales, por su acrónimo en inglés), que entiende que su negocio se basa, entre otras cosas, en la seguridad de la información, es víctima de ciberataques que tienen éxito, así sea menor, ¿qué podemos esperar de compañías menos preocupadas en la ciberseguridad? ¿Y qué podemos esperar de los gobiernos, a veces tan preocupados en la austeridad y en los ahorros presupuestales?
Hackeos a empresas privadas
- Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
- Hackear a Rackspace (14 de diciembre, 2022)
- Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
- Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
- Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
- Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
- Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
- Lecciones del hackeo a iVoy (10 de agosto, 2020)
- Lecciones del hackeo a Bitso (11 de junio, 2020)
- Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
- Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
- Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
- Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
- ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
- Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
- Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
- Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
- Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
- Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
- Hackear las elecciones (9 de junio, 2017)
- Yahoo: Hit me, baby, one more time (24 de enero, 2017)
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.
Comentarios
