A Daniela le pareció buena idea darle sus datos personales a McDonald’s a cambio de recibir descuentos y promociones. “Sí ponen buenas promos, hasta eso”, me contó. Pero esas promos no compensan la exhibición de sus datos personales a terceros no relacionados con McDonald’s, que fue lo que ocurrió el 30 de marzo de 2022, cuando la cadena de comida rápida fue víctima de un hackeo que provocó el robo de información personal de sus clientes.
¿Qué datos personales le robaron a McDonald’s? No queda muy claro: ni la comunicación corporativa de la cadena, administrada por Arcos Dorados México, ni las respuestas a un cuestionario que hice llegar a su equipo de prensa ayudan a clarificar.
De hecho, McDonald’s ha sido hermético en la comunicación del incidente de ciberseguridad: comunicó a los afectados 16 días después de ocurrido el hackeo, cuando la ley de protección de datos personales exige la máxima celeridad, para que los titulares de los datos tomen medidas para resguardar su seguridad tras la filtración. McDonald’s publicó una “carta de notificación” con detalles del hackeo en una liga a la que es imposible llegar desde su sitio web. En la práctica, parece que McDonald’s quiere ocultar o minimizar el incidente.
En una comunicación directa con los afectados en Viernes Santo (15 de abril), McDonald’s les informó que “es posible que su nombre, estado civil, dirección, e-mail, número de documento de identidad y número de teléfono hayan quedado desprotegidos”.
En la notificación publicada en lo más profundo de su red, con fecha del 13 de abril, McDonald’s agrega que entre los datos filtrados había “correo electrónico, nacionalidad, código postal, nombre y apellido, fecha de nacimiento, producto favorito en McDonald’s e intereses familiares”.
Consulté directamente al equipo de comunicación de McDonald’s (Arcos Dorados México) para conocer mayores detalles del incidente, con preguntas como ¿Cuántos clientes mexicanos se vieron afectados por el incidente de seguridad? (Pregunté por México, porque la vulneración de información también afectó a ciudadanos de Costa Rica). ¿Cuántos trabajadores se vieron afectados? ¿Cuáles datos personales estuvieron en riesgo? y ¿Por cuánto tiempo estuvo activo este “incidente cibernético”? Recibí una respuesta de 149 palabras:
“Debido a que las investigaciones en curso son confidenciales no podemos brindar más información en este momento. Tan pronto conocimos el incidente sufrido por uno de nuestros proveedores de servicios de IT [tecnologías de información], tomamos medidas adicionales de seguridad y, en cumplimiento de las regulaciones en la materia y actuando bajo el principio de transparencia, ética y responsabilidad; informamos a las autoridades mexicanas correspondientes y notificamos a un grupo limitado de consumidores en México cuyos datos quedaron posiblemente desprotegidos.
“Es importante aclarar que no almacenamos información sensible ni datos bancarios de los consumidores; y que esta información se encuentra dentro del marco usual de nuestra actividad comercial y se ajusta a la Ley de Protección de Datos vigente en el país.
“En Arcos Dorados México seguimos trabajando con nuestros proveedores para reforzar la seguridad de la información de nuestros clientes que nos permita seguirles ofreciendo el mejor servicio en nuestros restaurantes”.
Se pueden cuestionar algunos valores consignados en el comunicado de McDonald’s, como los de “transparencia, ética y responsabilidad” ante la escasez de información sobre el incidente y la demora en comunicar a los afectados. Es lógico: en una economía basada en la reputación a nadie le gusta reconocer errores ni admitir que ha puesto en riesgo a sus consumidores.
Para Daniela, nada volverá a ser lo mismo en su relación con McDonald’s: “Las promos son buenas, pero a cambio del robo de mis datos es un precio muy alto. Nadie debería pagarlo”, me dijo.
Amiguitos, piénsenlo más de una vez antes de entregar sus datos personales a cualquier proveedor: ¿están seguros de que vale la pena?
Hackeos a empresas privadas
- Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
- Hackear a Rackspace (14 de diciembre, 2022)
- Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
- Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
- Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
- Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
- Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
- Lecciones del hackeo a iVoy (10 de agosto, 2020)
- Lecciones del hackeo a Bitso (11 de junio, 2020)
- Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
- Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
- Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
- Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
- ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
- Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
- Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
- Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
- Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
- Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
- Hackear las elecciones (9 de junio, 2017)
- Yahoo: Hit me, baby, one more time (24 de enero, 2017)
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.
Comentarios
