Los datos de clientes de una tradicional cadena de electrodomésticos quedaron expuestos en la web

Datos personales de cientos de clientes argentinos de una cadena de electrodomésticos y productos para el hogar quedaron expuestos públicamente en Internet, sin ningún tipo de contraseña. La base de datos pertenecía a Hendel Hogar, cuyas tiendas venden productos para la casa en una treintena de localidades de la provincia de Buenos Aires. La “vulnerabilidad” sobre la información de los clientes de la cadena de artículos para el hogar fue detectada por un consultor norteamericano en seguridad informática Jeremiah Fowler, en conjunto con el equipo de investigación de Website Planet, que elaboraron un informe al que accedió Infobae. Fowler es director de Security Research del sitio Security Discovery, y está radicado en Europa.

Desde la empresa, ante la consulta de Infobae, minimizaron el episodio. “En respuesta al evento consultado sobre la vulneración de datos informáticos, nuestra empresa desea expresar que sufrió un intento de hackeo a uno de nuestros servidores de desarrollo y que en dicho intento no pudieron acceder a las bases de datos completas, sino únicamente a una base de índices, que cuenta con menor información de la que puede obtenerse en los padrones electorales”, sostuvo Gustavo Sánchez, director de Hendel.

Desde la firma explicaron que se trató de “un servidor de desarrollo o prueba, no el servidor que se usa para ventas”, y que “pudieron acceder a un índice de clientes pero no a la base completa”.

Como investigador cibernético, Fowler suele detectar “vulnerabilidades” en bases de información personal on line pertenecientes a empresas o gobiernos en distintos países del mundo. Infobae le preguntó cómo dio con la base de datos de Hendel expuesta en la web. “Utilizamos múltiples herramientas de escaneo y motores iOT para identificar redes de almacenamiento en la nube mal configuradas. Una vez que descubrimos estos datos, validamos nuestros hallazgos e intentamos comprender qué está expuesto, quién lo expuso y cuáles son los riesgos del mundo real”, respondió Fowler por correo electrónico.

Una de las carpetas filtradas de esta casa llamada “Cliente” contenía 605.725 registros con datos personales de los que serían clientes de las tiendas Hendel, mientras que otra, llamada “cuenta crédito”, tenía 283.000 entradas referidas a los que habrían recurrido al crédito para la compra de artículos en Hendel Hogar. En total, sumaban 918.395 datos. Desde Hendel aclararon que no tienen esa cantidad de clientes, y “esa cifra de registros es muy superior”. También señalaron que “por tratarse de un servidor de desarrollo, se buscaba someterlo a pruebas de estrés para probarlo, co algunos datos de clientes ciertos y otros falsos”.

Hendel Hogar tiene su casa central en la localidad de Marcos Paz y cuenta con 31 sucursales, según su sitio web. Fundada por Miguel Hendel, comercializa desde electrodomésticos, computadoras y productos para la casa hasta artículos de jardín, camping, herramientas, indumentaria deportiva y juguetes. También ofrece la posibilidad de sacar tarjeta de crédito propia. “Hace más de 50 años que nuestros clientes confían en nosotros para acceder a aquellos productos que necesitan, y lo facilitamos otorgando un Crédito Personal propio a través de la Tarjeta Hendel”, promociona esta cadena en su sitio en Facebook.

Fowler alertó a Hendel mediante un correo electrónico enviado el 24 de mayo, con ejemplos de capturas de pantalla de lo que había detectado. Si bien no obtuvo respuesta, le dijo a Infobae que la cadena de electrodomésticos cerró el acceso al público en menos de tres horas.

La explicación de la empresa es distinta a la de Fowler. “Este intento fue denunciado por Jeremiah Fowler vía email, advirtiéndonos sobre el hackeo, y consultando si la empresa poseía un programa de recompensas para la detección de vulnerabilidades informáticas como la denunciada. En la misma notificación, Fowler nos informó que no realizó ningún tipo de extracción de datos, sino sólo ciertas capturas de pantalla con la intención de notificarnos al respecto y validar su descubrimiento”, afirmó Sánchez. El director de Hendel aseguró que “a la fecha de la recepción de dicho email, los expertos de la compañía confirmaron que en ese momento no existía ninguna vulnerabilidad”. Y agregó: “Cuatro días más tarde, recibimos un nuevo mail de la misma persona mencionando que la vulnerabilidad ya no existía y consultando nuevamente por el programa de recompensas”.

Más allá de estas versiones encontradas, no se sabe si alguien más pudo haber accedido a la base de datos mientras estuvo expuesta en la red. “Se corría el riesgo de que fuese el objetivo de un ataque de ransomware o de que fuese robada por ciberdelincuentes. Si piratas informáticos malintencionados hubieran encontrado el servidor, los clientes expuestos podrían ser objeto de estafas a través de métodos de ingeniería social o robo de identidad”, alertó Fowler, cofundador de Security Discovery.

Según explicó, un ataque de ransomware es un tipo de malware (o software malicioso) que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. “El ransomware puede infectar una computadora de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos”, le dijo a Infobae.

La información expuesta en la web

El nombre y número de DNI de los clientes son parte de los datos expuestos, aunque la base no contenía escaneos o imágenes completas del documento de cada individuo.

La información personal quizás más sensible incluida en la base de datos expuesta habría estado en la “cuenta crédito” de cada cliente. Esta identificación parecía ser un número de seguimiento interno de 6 u 8 dígitos para quienes hubieran adquirido artículos con crédito, ya que Hendel ofrece su propia tarjeta de crédito como opción de pago. “Estos números estaban en orden cronológico del 000001 al 283.000, y marcados como cuentas habilitadas o activas”, sostuvo Fowler en su investigación. Pero ante la consulta de Infobae, aclaró que ninguno de los registros poseía 16 dígitos, la cantidad de números usuales en las tarjetas de créditos.

“Estos datos expuestos, tales como el nombre y el DNI, pueden ser utilizados por delincuentes informáticos o comunes para cometer fraudes contra estos clientes. Los individuos podrían ser identificados utilizando buscadores de registros de código abierto que muestran dónde trabajan y otros datos que pueden servir para generar un perfil completo de la víctima y cometer delitos de robo de identidad”, advirtió este investigador en seguridad informática.

Los archivos expuestos públicamente en la web también mostraban dónde se almacenaban los datos y cómo funcionaba la red de inicio de sesión desde el “backend”. “Cuando alguien ve una tienda, empresa o servicio, generalmente no saben cómo administran sus clientes o cuentas de crédito, solo pueden adivinar. En este caso no necesitábamos adivinar porque cualquier persona con conexión a internet podía ver la estructura y pistas de cómo opera o funciona el sistema. En cuanto a esta exposición de datos, pudimos ver la información que se recopila, cómo se estructuraban los números internos e incluso cómo se almacenaban las cuentas/clientes en carpetas individuales. Las redes tienen un frontend (fachada) y un backend (o parte interna/desarrollo). Por ejemplo, el frontend sería lo que los clientes ven y no está protegido por contraseña, donde un sistema de manejo de contenido (CMS) o una base de datos se consideraría una infraestructura de backend y debería tener un acceso cerrado o restringido”, explicó Fowler a Infobae.

El director de Hendel desmintió categóricamente cualquier filtración de información sensible. “Dejamos aclarado que nuestra base de datos de clientes y su información confidencial, es accedida por empleados de la empresa debidamente autorizados de acuerdo con sus necesidades operativas, y sólo a través de la red corporativa, la que no se encuentra directamente expuesta a Internet.”

Según la política de privacidad de Hendel como responsable de la base de datos de los clientes, recursos humanos, proveedores y prestadores, la empresa ha registrado las bases de datos en la Dirección Nacional para la Protección de los Datos Personales, y ha realizado hasta la fecha las renovaciones requeridas por la ley N° 25.326 de Protección de los Datos Personales promulgada en 2020. La norma fue sancionada para proteger los datos personales, y permitir a los ciudadanos acceder a la información almacenada en bases de datos públicas y privadas, en otros registros.

En el informe elaborado por Fowler al que accedió Infobae, se hace la salvedad de que la exposición de datos pudo no haber generado perjuicio para aquellos cuyos datos pueden haber quedado expuestos. “No insinuamos que los clientes o solicitantes de crédito de Hendel hayan estado en peligro. Sólo destacamos aspectos de nuestro descubrimiento para concientizar sobre la protección de datos. Aconsejamos a cualquier empresa que experimente una violación de datos que realice una auditoría forense y notifique a los clientes o individuos afectados que estén atentos a cualquier cambio en sus cuentas de crédito”, advirtió en su informe.

Sobre los motivos por los que se dedica a relevar las fallas de seguridad en las bases de datos online con información personal de individuos, explicó: “Somos un grupo de hackers de sombrero blanco (o hacker éticos) enfocados en exponer estas amenazas dondequiera que podamos encontrarlas. Hacemos esto identificando nosotros mismos las fallas o brechas en la seguridad en línea de las empresas, para luego informarle al propietario de los datos y luego compartiendo los hallazgos aquí en nuestro blog para ayudar a otros a evitar cometer los mismos errores y a los usuarios de Internet a protegerse”.

“Creemos que los individuos merecen la privacidad y la seguridad de los datos, independientemente del país en el que vivan o del idioma que hablen”, agregó.

Otras filtraciones masivas

No es la primera vez que Argentina sufre un incidente de este tipo a gran escala en los últimos años.

En 2020 la filial argentina de Telecom, fue hackeada y sus datos fueron encriptados con un ransomware, afectando a los sistemas de atención al cliente. Desde Rusia, pidieron un rescate de USD 7,5 millones en criptomonedas para devolver los archivos, sin éxito, ya que pudo ser contenido. Según aseguraron desde la empresa, los usuarios no se vieron afectados, aunque el centro de llamadas (call center) de la compañía tuvo que suspender su servicio.

Ese mismo año, la Dirección Nacional de Migraciones fue víctima también de un ataque de ransomware por el que se filtraron datos personales de más de 25.000 argentinos que volvieron al país en plena pandemia. Más de 2.000 internautas descargaron los archivos que fueron publicados en una plataforma de origen ucraniano.

Y el año pasado, un pirata informático aseguró tener los datos identificatorios de 45 millones de argentinos, extraidos del RENAPER, aunque el organismo negó que hubiera habido una descarga masiva. El hacker publicó los datos privados de 44 figuras públicas argentinas con su foto original del DNI en una cuenta de Twitter.

SEGUIR LEYENDO: