¡Han Robado a Robin Hood! Hackeo a una empresa estadounidense
Robinhood Markets, Inc. es una empresa estadounidense de servicios financieros con sede en Menlo Park, California, conocida por crear operaciones sin comisiones de acciones, intercambios y criptomonedas a través de una aplicación móvil lanzada en marzo de 2015.
El pasado 29 de julio de 2021 Robinhood comenzó a cotizar en Nasdaq. Un atractivo que encuentran quienes compran acciones y opciones por medio de su plataforma es que pueden realizar estas operaciones sin pagar comisiones. El modelo de negocio de esta empresa se basa, como fuente principal de ingresos, en el pago que recibe de los intermediarios con los cuales canaliza las operaciones de compra y venta de sus clientes.
Sin embargo en la presentación S-1 ante la SEC antes de su salida a bolsa, Robinhood señaló un mayor riesgo de incidentes de ciberseguridad debido al trabajo a distancia durante la pandemia. "Debido a la actual pandemia de COVID-19, existe un mayor riesgo de que podamos experimentar incidentes relacionados con la ciberseguridad como resultado de que nuestros empleados, proveedores de servicios y otros terceros trabajen a distancia en sistemas y entornos menos seguros", dijo en la presentación. "Los controles empleados por nuestro departamento de tecnología de la información y nuestros clientes y proveedores de servicios de terceros, incluidos los proveedores de la nube, podrían resultar inadecuados.
¿Cuál fue el ataque?
La plataforma de negociación Robinhood anunció el pasado mes de Noviembre que un intruso cibernético hackeó los sistemas de la compañía y arrebató la información personal de millones de usuarios.
Más concretamente se accedió a la información personal de 7 millones de clientes durante una violación de datos. La compañía dijo en un comunicado de prensa que no parece que los números de la Seguridad Social, números de cuentas bancarias o números de tarjetas de débito fueran expuestos, y ningún cliente ha tenido "pérdidas financieras" debido al incidente.
El ataque tuvo lugar el 3 de noviembre, dijo Robinhood en un blog. El hacker accedió a ciertos sistemas de atención al cliente de Robinhood haciéndose pasar por un representante de atención al cliente por teléfono, una táctica conocida como phishing de voz (vishing).
¿Qué datos se robaron?
El ciberataque afectó aproximadamente a un tercio de los usuarios de Robinhood (7 millones). La información expuesta incluyó:
Direcciones de correo electrónico de aproximadamente cinco millones de personas.
Los nombres completos de otro grupo de dos millones de personas.
Unas 310 personas sufrieron la pérdida de información personal adicional, como la fecha de nacimiento y el código postal.
A diez clientes se les revelaron "detalles más amplios de la cuenta".
La empresa dijo que se exigió el pago de un rescate después de contener el incidente. Ha informado a las fuerzas del orden y ha contratado a la empresa de seguridad externa Mandiant para investigar el incidente.
¿Cómo puedes proteger tu cuenta tras el ataque?
Habilitar la autenticación de dos factores en tu cuenta de correo electrónico. Habilitar la autenticación de dos factores en tu cuenta de Robinhood. Con dos factores habilitados, tendrás que aprobar cualquier intento de inicio de sesión a través de una fuente secundaria, como un texto, una llamada o un correo electrónico de Robinhood.
Congelar tu informe de crédito. Esto evitará que un cibercriminal utilice tu información personal para obtener crédito o abrir cuentas a tu nombre. Ten en cuenta que si necesitas solicitar un nuevo crédito tendrás que deshabilitar la congelación para poder solicitarlo. También tendrás que ponerte en contacto con cada una de las agencias de información crediticia, en este caso Equifax, Experian y Transunion para congelar cada informe.
También puedes establecer una alerta de fraude a corto plazo. Ésta tiene una duración de un año. Es diferente porque en lugar de una congelación general, el acreedor tiene que ponerse en contacto contigo para verificar la solicitud de crédito. Sólo tienes que ponerte en contacto con una agencia de información crediticia para iniciar una alerta de fraude, que está legalmente obligada a compartir tu solicitud con las demás agencias de información, y es gratuita.
Finalmente puedes contratar un servicio de supervisión del crédito. Esto te alertará de posibles fraudes en tu informe crediticio. Cuando Equifax sufrió una filtración de datos en 2017, ofreció a los afectados servicios gratuitos de supervisión del crédito durante cuatro años. La monitorización del crédito puede alertarte del fraude, pero no puede evitarlo por completo. Tendrás que ser diligente en la supervisión de tu crédito y tu información personal para evitar el fraude.
En ESED somos especialistas en Ciberseguridad para entidades Financieras, entre ellas Fintechs que como bien sabrás su mayor reto es garantizar la seguridad de los datos bancarios de sus clientes.
Si necesitas la ayuda de un externo en materia de Ciberseguridad no dudes en ponerte en contacto con nosotros, estaremos encantados de combatir cualquier ataque o riesgo a tu lado.
Tal vez te gustaría
Artículos relacionados