Filtraciones de LifeLock ID podrían haber facilitado robos de información

Este servicio arrastra una mala reputación tratándose de protección de información sensible

El servicio de protección contra el robo de identidad de LifeLock sufrió una falla de seguridad que pone en peligro la identidad de sus usuarios, reportan expertos en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética. El evento obligó a Symantec, su empresa matriz, a retirar parte de su sitio web para solucionar el problema después de enterarse de la falla.

Según reportes, la vulnerabilidad fue descubierta a través del newsletter de la empresa que recibió un usuario del servicio. Al hacer clic en la opción “cancelar suscripción” del newsletter, aparecía una página que mostraba la clave del suscriptor. Eso le permitió al usuario elaborar un script que fue capaz de extraer claves y direcciones de correo electrónico correspondientes a otros usuarios.

“Si yo fuera una mala persona, definitivamente implementaría una campaña de phishing dirigida a los usuarios de la empresa, porque sé un par de cosas sobre ellos. Sé que son clientes de LifeLock y conozco sus direcciones de correo electrónico. Esa es una gran ventaja para realizar un ataque de spear phishing. Además, definitivamente creo que el mercado objetivo de LifeLock está integrado por personas fácilmente identificables para realizar ataques informáticos”, menciona el usuario, que parece tener conocimientos sobre seguridad informática y cursos de protección de datos personales.

El sitio web de LifeLock parece estar funcionando como siempre, pero no está claro si la vulnerabilidad ya ha sido corregida. Aunque una cosa sí es segura, el servicio tiene un historial impresentable cuando se trata de mantener la confidencialidad de la información sensible de sus usuarios.

En 2014, tuvo que retirar sus aplicaciones móviles después de descubrir que no cumplían con los estándares de seguridad para información de tarjetas de pago. Un año antes de que Symantec comprara la compañía en 2016, la Comisión Federal de Comercio de EU (FTC) también le impuso una multa de 100 millones de dólares por no hacer lo suficiente para proteger los datos personales de sus usuarios, incluidos los números de seguridad social, tarjeta de crédito y cuenta bancaria.

Reportes de especialistas en cursos de protección de datos personales mencionan que es posible que el sitio web de LifeLock siga funcionando mientras solucionan la vulnerabilidad, limitando solamente algunas funciones de sus servidores en línea.