El martes 24 de diciembre, la cadena de tiendas departamentales Liverpool –una de las más grandes de México y tercer mayor emisor de tarjetas de crédito– denunció ante la Bolsa Mexicana de Valores haber sufrido un robo de datos personales de clientes y empleados, el cual calificó como “de bajo riesgo”.
PUBLICIDAD
Después de haber publicado al respecto aquí en FayerWayer, el grupo denominado SicKillers me contactó mediante redes sociales para adjudicarse la autoría del incidente.
Después de comunicarse conmigo por correo el sábado 27, comentaron el motivo y el alcance del ataque:
La principal razón entre todas es: Porque podemos y disfrutamos hacerlo.
El alcance de este hack es un acceso total a su infraestructura, por 6 años hemos estado accediendo y documentando cada mínima parte de sus sistemas; contamos con todas sus bases de datos, códigos fuentes, correos, datos e información de sus directivos y de los clientes.
El grupo SicKillers ha estado publicando en Facebook algunos de los correos e información personal sustraídos. Su página original de Facebook (/SicKillersMeX) ya ha sido eliminada, aunque aún podía ser consultada en línea la tarde del sábado 27. Una versión en caché del sitio todavía muestra algunas de las publicaciones hechas; en tanto, el grupo continúa difundiendo por medio de otra página de Facebook.
En su página original, se describe como “un grupo de activistas que pueden ayudar a esclarecer algunos acontecimientos sobre la empresa Liverpool , mucha información que han ocultado.”
Entre los sucesos a los que hacen referencia en sus publicaciones se encuentra el encubrimiento del asesinato de una empleada en la sucursal de Perisur, en la Ciudad de México, el día 15 de noviembre.
Entre las publicaciones hechas, se encuentran los datos personales de “uno de los millones de clientes afectados” (según afirmaciones del grupo), así como copia de identificaciones oficiales de presuntos directivos de Liverpool y correos electrónicos de carácter interno.
PUBLICIDAD
“[También] en Facebook y por correo electrónico estamos liberando información poco a poco. Así mismo estamos haciendo llegar a clientes afectados su información sugiriendo tomar acciones legales contra la empresa”, comentó el grupo vía correo electrónico.
Hasta el momento, no hemos podido confirmar ni denegar la veracidad de todas las publicaciones hechas por SicKillers; no por falta de interés, sino porque ni la agrupación ni la empresa han dado más datos específicos. Estamos ante un posible robo de datos en el que Liverpool debe ser más transparente ante sus clientes, los mexicanos y el Estado.
Además, en conformidad con la Ley Federal de Protección de Datos en Posesión de Particulares, el Instituto Federal de Acceso a la Información tiene la tarea de exigir información a Liverpool sobre este robo de datos, tal como se hizo con Sony de México tras los ataques a la PlayStation Network en 2011.
Por su parte, SicKillers confirma que seguirá publicando información de la empresa como parte de su campaña. Por esa razón, se vuelve imperativo que la empresa Liverpool haga pública la magnitud del suceso para corroborar o desmentir las afirmaciones de una brecha de seguridad que, de acuerdo con la información obtenida por la fuente, sería de una escala muy superior a lo reconocido por la compañía en un inicio.
Hemos contactado a Liverpool para conocer su postura y actualizaremos la información conforme a su respuesta.
*Agradecimientos a Manu Contreras por el apoyo en la redacción de este artículo.