El robo se conoció durante el feriado nacional por el Día de la Memoria, cuando en un blog se publicaron las direcciones de correo electrónico y las claves de acceso de 461 clientes. El episodio ratifica la necesidad de implementar buenas prácticas de seguridad informática en Internet.
Geelbe, un club privado de compras por Internet con actividad en la Argentina y México, sufrió este miércoles un duro golpe al difundirse en la web una lista con los datos de acceso de 461 usuarios de esta tienda.
El robo de los datos por parte de delincuentes informáticos desconocidos se conoció a las 2.00 del 24 de marzo, feriado nacional por el Día de la Memoria, cuando en un blog se publicaron las direcciones de correo electrónico y las claves de acceso de los usuarios, los primeros que tuvo esta compañía.
Algunos de los afectados informaron el caso a través de Twitter, lo cual permitió una rápida reacción entre aquellos que utilizan esta red social de microblogging. De acuerdo a voceros de la compañía, los datos fueron obtenidos entre 4 y 6 meses atrás. La propia empresa utilizó Twitter para informar sobre el tema (http://twitter.com/geelbe/status/10976193760).
“Inmediatamente anoticiados, bloqueamos el acceso a nuestro servicio. Geelbe no almacena datos relacionados a las tarjetas de crédito, como éstas exigen y certifican, por lo que esa información siempre está segura al operar con nosotros”, informó el portal de compras en un artículo publicado en su blog.
A media mañana del miércoles, la tienda envió un mensaje por correo electrónico a todos sus usuarios, para informar sobre el tema y con recomendaciones para cambiar la contraseña.
Geelbe nació en la Argentina, luego se extendió a México y tiene planes para ampliar su presencia a más países en la región. Para ello había obtenido más de 3 millones de dólares en rondas de capitalización. A diferencia de MercadoLibre.com u otros portales de compras, en el caso de Geelbe sólo se puede acceder a través de invitación.
Aquí, el comunicado oficial que se envió por correo electrónico a todos los miembros del servicio. http://blog.geelbe.com/ar/2010/03/24/importante-informacion-de-seguridad/ . Y aquí, un segundo mensaje donde se informa que el sitio ya estaba en línea: http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/.
Como medida preventiva, la primera acción de la empresa fue bloquear el acceso a la tienda, “generar las denuncias para que den de baja el blog que contenía los datos, mantener informados a nuestros usuarios a través de Twitter, Facebook, nuestro blog y mails que les han sido enviados”.
Según el portal de comercio electrónico, “los datos publicados no eran actuales, no se han perdido datos, no se han realizado compras con datos ajenos”, porque Geelbe “no almacena información relacionada con tarjetas de crédito”, o “modificaciones de datos en compras”.
¿Y con los datos de las transacciones realizadas hasta el mates pasado? Incluyendo las realizadas con tarjetas de crédito, estuvieron, según Geelbe, “siempre 100% seguros”, porque la tienda no los almacena y evita “la participación humana en el proceso de pago”.
La firma informó que elevó el nivel de encriptación de las contraseñas (que no estaban en texto plano), “para evitar futuros inconvenientes”.
AntecedentesGeelbe es como un club de compras, donde los miembros abren las puertas de esta versión de “outlets premium”, donde se pueden obtener productos de marcas reconocidas con un descuento que va entre el 25 y 80%. En el caso del portal afectado por el robo de datos, la exclusividad de pertenecer puede lograrse casi sin restricciones.
Por el lado de los creadores del sitio, el objetivo es conseguir que las marcas busquen liquidar stocks, antes de llevarlos a sus propios outlets, y además presenten algún producto nuevo en el mercado.
El target de sitios como Geelbe son jóvenes de un promedio de 35 años, de medio y alto poder adquisitivo, que buscan marcas reconocidas, se manejan con soltura en Internet y además están dentro del sistema bancario. Los clientes son la herramienta de difusión que estos clubes utilizan para buscar socios por la Web.
Según informó el diario porteño La Nación el 6 de marzo, Geelbe cuenta con 150.000 usuarios en el país y México. Comenzó en 2008, con una inversión de 300 mil dólares. Luego obtuvo otras dos inyecciones de capital: el grupo Depeè Investments colocó un total de 4,2 millones de dólares. Con ese monto abrieron oficinas en México y se preparan para expandir el negocio en el resto continente. La facturación fue de un millón de pesos en 2009, y los planes para este año, antes del robo de datos, era un crecimiento del 200%. Otros jugadores de este mercado son Ventas-privadas.com y Deluxe Buys.
RecomendacionesSi usted es usuario de Geelbe, cambie inmediatamente su clave de acceso en esta tienda y en otros sitios de Internet donde utilice esa información, como por ejemplo correo electrónico u otros servicios.
Por ejemplo, si la misma contraseña de Geelbe es empleada para sus cuentas de Hotmail, Gmail, Facebook, Twitter, etc.
Ignacio Sbampato, vicepresidente de para Latinoamérica de Eset, una empresa de seguridad informática, analizó que el caso de esta tienda “recuerda la necesidad no solo contar con contraseñas fuertes sino también de lo importante que es mantener distintas contraseñas para los servicios y sitios de Internet que utilizamos”.
El ejecutivo de este proveedor de antivirus recordó que el caso de Geelbe “no es único y es algo que, aunque no sucede a diario, si se da en forma periódica”.
Sin embargo, en el episodio del robo de datos en Geelbe, las contraseñas fuertes no sirvieron como medida de seguridad. ¿Por qué? Se trata de una situación donde un tercero tuvo acceso a la base de datos de usuarios de un sitio y obtuvo las contraseñas, porque estaban protegidas pobremente en términos de seguridad y codificación. En este tipo de casos, tener una contraseña fuerte o débil no ayudará.
La conclusión, según Sbampato, es sencilla: “Hay que usar distintas en cada sitio o servicio de Internet que utilizamos. El por qué de este consejo queda claramente demostrado en este caso: al atacante cuenta con una dirección de mail y una contraseña nuestra, y puede utilizarlas para intentar ingresar en otros servicios donde usemos la misma información de autenticación”.
Puede leer más sobre cómo generar contraseñas seguras y administrarlas en la web en esta nota de iProfesional.com:
http://www.iprofesional.com/notas/84596-Como-se-organizan-los-nombres-de-usuario-y-las-contrasenas-en-la-web.html
César Dergarabedianwww.infobae.com
