Brecha de datos en firma de cosméticos Estée Lauder expone los datos de 440 millones de personas

Como usuarios, es común pensar en que los incidentes de seguridad informática sólo ocurren en compañías tecnológicas. Esta es una idea equivocada, pues de forma constante aparecen reportes sobre incidentes de seguridad de datos en toda clase de compañías. Esto es precisamente lo que acaba de ocurrir en la compañía de cosméticos Estée Lauder, que sufrió una brecha de datos en la que se expusieron alrededor de 440 millones de registros.

El incidente se presentó debido a una base de datos sin protección, menciona Jeremiah Fowler, investigador encargado del hallazgo. Esta base de datos expuesta contiene registros de direcciones email sin cifrar de clientes y empleados, informes de marketing, documentos internos, así como información sobre direcciones IP y rutas de almacenamiento de datos. Fowler añadió que notificó al área responsable de la seguridad informática en Estée Lauder, quienes inhabilitaron el acceso a la base de datos de inmediato.

Poco después de recibir el informe, Estée Lauder confirmó el incidente, mencionando que la base de datos expuso un número limitado de direcciones email (no pertenecientes a los clientes) registradas en una plataforma en línea. El equipo de seguridad informática de la compañía cosmética también afirmó que no se registraron accesos indebidos a la base de datos.

Sin embargo, los problemas no han concluido para la compañía, pues aún debe realizar una investigación para determinar fehacientemente que ningún actor de amenazas tuvo acceso a la información comprometida. Además, el comunicado ha planteado más dudas para los clientes, pues las brechas de datos en ocasiones pueden ser explotadas como punto de acceso a las redes internas de una compañía, lo que comprometería mayores detalles internos y de los clientes.

“Incidentes como este exponen a los usuarios a diversas actividades maliciosas. Los hackers podrían enviar correos de phishing, hacer compras en otros sitios con los datos de sus tarjetas de pago e incluso realizar ataques de suplantación de identidad”, menciona Robert Capps, especialista en seguridad informática.   

Mientras la investigación de la compañía continúa, el Instituto Internacional de Seguridad Cibernética (IICS) señala que el incidente podría investigarse según el Reglamento General de Protección de Datos de la Unión Europea (GDPR), pues se comprometieron los datos de habitantes de la UE. Cabe recordar que las multas por incumplimiento con esta ley llegan hasta el 4% de las ganancias anuales de la compañía multada, por lo que el incidente podría tener desastrosas consecuencias financieras para la firma fundada en Nueva York.