“De bajo riesgo” es como ha calificado la empresa El Puerto de Liverpool S. A. B. de C. V. el robo de datos que sufrió la tarde del 24 de diciembre. La mayoría de los medios mexicanos han retomado la única información disponible: un comunicado de prensa de la compañía emitido a la Bolsa Mexicana de Valores, en la que describe de manera escueta los acontecimientos:
La única descripción del incidente que da la compañía –como indica el comunicado, dueña de una de las cadenas de tiendas departamentales más grande de México– es que hubo una intromisión a los correos electrónicos de sus empleados y “también obtuvieron información de algunos clientes”. La respuesta de la empresa es lacónica y opaca: sólo califica (¿bajo qué criterios?) que el riesgo es bajo (¿para quién: la empresa o el cliente?) y que se están tomando medidas adicionales (¿cuáles?) para reforzar la seguridad.
El hack a Liverpool no sólo es de interés corporativo o bursátil: es de interés público. Se trata de una brecha de seguridad en una cadena que, como la misma empresa expresa, representa “el tercer emisor más importante de tarjetas de crédito en México con más de 3.5 millones de cuentas”. Ni siquiera sabemos la naturaleza de la vulnerabilidad, lo que nos impide darnos una idea de la magnitud o seriedad del problema.
Decir que “obtuvieron información de algunos clientes” para minimizar el incidente es un grave error. ¿Cuántos clientes se vieron comprometidos? ¿Qué información fue sustraída? Consideremos que una cadena departamental como Liverpool no sólo maneja cuentas de crédito: entre los datos que tiene están los historiales crediticios, las direcciones postales, las direcciones electrónicas, los números telefónicos y los nombres completos de sus clientes.
Estos son datos personales que, en las manos equivocadas y con una simple minería, pueden ser muy útiles para los criminales. Pautar hábitos de compra, hábitos de pago, hacer perfiles de posibles blancos con base en sus compras (y tener sus direcciones a la mano), son algunos de los riesgos, pero no los únicos. Ahí está también la suplantación de identidad, la extorsión, el secuestro virtual, el fraude y otro sinnúmero de problemas potenciales.
Por eso, reitero mi pregunta, ¿para quién es el bajo riesgo: para la empresa –por no ver información confidencial comprometida, por ejemplo– o para el cliente?
A eso hay que sumarle que no sabemos de qué empleados fue comprometido el correo electrónico. ¿Se trata de gente del corporativo, de un área esencial de la empresa, de mandos medios, de algún área operativa? ¿Quiénes? El ostracismo parece una estrategia para proteger la imagen de la compañía, pero no funciona para que el comprador tome posteriores decisiones de seguridad. ¿Se puso en riesgo su sistema de comercio electrónico, de facturación, de créditos? No lo sabemos.
Los consumidores tienen derecho a saber si su información personal ha sido comprometida. Tienen derecho a saber qué puntos vulnerables tiene la compañía y tomar una decisión informada sobre si le seguirán confiando sus datos sensibles o si seguirán usando su servicio crediticio. Instancias como la Procuraduría Federal del Consumidor deben ver si este suceso, escondido en un comunicado en la víspera de Navidad, no guarda algo más grande. Quizá sí, haya sido sólo un incidente menor, pero eso debemos decidirlo con toda la evidencia frente a nosotros.
Necesitamos saber más de este hack, Liverpool. Es tu oportunidad y tu obligación.