Por BENTH WORTHEN y ANTON TROIANOVSKI
Cuando la compañía de marketing por correo electrónico Epsilon Data Management descubrió en marzo que un grupo de hackers había robado la lista de direcciones de email y nombres de consumidores que administra para grandes bancos y minoristas, su presidente ejecutivo, Bryan Kennedy, se encontró ante un dilema: hacer público que había sido blanco de un ataque o guardar silencio.
Epsilon, filial de Alliance Data Systems Corp. que organiza promociones y campañas de marketing por email a nombre de otras compañías, no estaba obligada legalmente a revelar el incidente. No obstante, no tuvo problema en anunciar públicamente lo sucedido. "La gente reconoce que estas cosas pasan", dijo Kennedy.
En las 48 horas posteriores al ataque, Epsilon formó un equipo para resolver la crisis. Se apoyó en un plan de respuesta que había desarrollado con anterioridad, informando a clientes como Target Corp. y J.P. Morgan Chase & Co. sobre el robo de información y aconsejó qué palabras usar cuando tuvieran que notificar a los afectados.
Epsilon publicó su propio comunicado de prensa "para darle cierto respaldo a nuestros clientes", dijo Kennedy. "Estaba claro que la estrategia más pragmática era dar la cara".
La forma en la que Epsilon manejó el ataque cibernético es una muestra de cómo las compañías están modificando sus respuestas a los asaltos de piratería en línea. En el pasado, las compañías solían ser tomadas por sorpresa y sus respuestas a menudo eran torpes y tenían después que ofrecer clarificaciones a sus preocupados clientes.
Ahora las respuestas son cada vez más sofisticadas. Ha surgido un sector de expertos —entre ellos abogados, especialistas de relaciones públicas e investigadores forenses— para ayudar a las compañías a decidir qué revelar y como tranquilizar a las víctimas. Los ejecutivos fuera de la sala de computadoras también son más conscientes de la amenaza representada por los ataques informáticos, lo que ha llevado a las compañías a formular planes de respuesta a casos de piratería antes de que siquiera ocurra un incidente.
Entre las compañías que han hablado abiertamente sobre la violación de sus sistemas está Google Inc., que reveló que hackers que rastreó a China habían robado parte de su propiedad intelectual a comienzos de 2010. Citigroup Inc. dijo esta semana que unos piratas informáticos habían robado casi el doble de números de tarjetas de crédito que lo revelado una semana antes.
Las compañías aún cometen errores al responder a incidentes de piratería cibernética. La red de juegos PlayStation, de Sony Corp., estuvo fuera de servicio por varios días antes de que la empresa revelara en abril que había suspendido su servicio por un ataque que comprometió datos de 100 millones de personas. Incluso entonces la empresa no pudo decir de manera concluyente si habían sido robados números de tarjetas de crédito.
Para calmar a los clientes, es cada vez más común que las compañías comuniquen exactamente lo que ocurrió en un ataque cibernético y qué riesgos hay.
Citigroup reveló el tipo de información que fue robada: números de tarjetas de crédito, nombres y direcciones de correo electrónico, pero también dijo que el hacker no accedió a números de Seguro Social o fechas de nacimiento y que los datos no serían suficientes para ejecutar fraude con tarjetas de crédito.
Citigroup enfrentó críticas por esperar hasta tres semanas para notificar a los clientes afectados, pero los expertos en piratería informática dijeron que es apropiado tomarse el tiempo para descubrir el verdadero alcance del incidente. Un portavoz de Citigroup dijo que la firma está adoptando medidas adicionales para protegerse contra el fraude, incluso la vigilancia de las cuentas afectadas para detectar actividades sospechosas.
—Randall Smith contribuyó a este artículo.
No hay comentarios:
Publicar un comentario