Mercado Libre: Defensa del Consumidor intervendrá de oficio por el hackeo que expuso datos de usuarios

La Dirección Nacional de Defensa de las y los consumidores confirmó que intervendrá de oficio en el caso de la filtración masiva de datos de usuarios de la empresa Mercado Libre. Según anunciaron a través de su cuenta de Twitter están trabajando de oficio e interviniendo al respecto.

“Las empresas que proveen servicios deben garantizar la seguridad en sus operaciones para no afectar tus derechos”, advirtieron. En una primera instancia, se realizará una investigación sobre la filtración de datos y luego se analizará si corresponde aplicar alguna sanción en el marco de la Ley de Defensa del Consumidor.

El pasado 7 de marzo, Mercado Libre confirmó a través de un comunicado que sufrió un episodio de ciberdelincuencia que permitió que hackers accedieran a los datos de 300.000 de sus usuarios. Sin embargo, aseguraron que no hubo acceso a cuentas o robo de contraseñas.

“Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”, señaló el comunicado de Mercado Libre.

“Aunque se accedió a los datos de aproximadamente 300.000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento, y según nuestro análisis inicial, no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago”, agregó el mensaje.

Desde la Secretaría Comercio Interior destacaron que Mercado Libre debe presentar información para investigar el presunto episodio de ciberdelincuencia. “La Dirección Nacional de Defensa del Consumidor y Arbitraje en Consumo (DNDC) presentó un requerimiento de información a la empresa Mercadolibre SRL para corroborar si efectivamente sufrió un episodio de hackeo que pueda haber afectado la protección de datos de sus clientes”, ampliaron. El requerimiento está contemplado en el artículo 45 de la Ley de Defensa del Consumidor (N°24.240).

El organismo oficial solicitó la información en seis puntos:

- Si son ciertos los reportes periodísticos respecto a que la empresa habría sufrido un episodio de ciberdelincuencia.

- Explicar y detallar los datos de las y los consumidores en poder de la empresa a los que los “hackers” habrían o podrían haber accedido.

- Cuáles son las posibles consecuencias que podrían sufrir las y los consumidores a partir de este episodio.

- Cuáles son las medidas de seguridad que tomó la empresa para minimizar los daños a sus usuarios y usuarias, así como prevenir futuros episodios.

- Indicar, en caso de tenerlos identificados, si se contactaron con sus clientes afectados para brindarles una solución y ponerlos en conocimiento de los pasos a seguir.

- Cualquier otra información que la empresa considere relevante en relación a la confidencialidad de la información de sus usuarios y usuarias.

La compañía fue notificada el miércoles 9 de marzo y cuenta con un plazo de cinco días hábiles para presentar toda la información.

Detrás del hackeo aparece un grupo conocido como Lapsus$, responsable de otros episodios de robo de información con fines extorsivos. Lapsus$ publicó entre sus seguidores una encuesta en que invitaba a elegir el próximo hackeo: “¿Cuál debiera ser nuestra próxima filtración?”. Las opciones eran el acceso al código fuente de Vodafone, de Impresa o de Mercado Libre.

Lapsus$ fue noticia pocos días atrás por otro ataque informático, en esa ocasión contra Nvidia, el principal desarrollador a nivel mundial de circuitos integrados y procesadores de tecnología gráfica. Nvidia fue víctima de un cibertaque que comprometió información confidencial de la compañía. Lapsus$ se responsabilizó del hecho y dijo que pudo extraer 1 terabyte de datos.

El ransomware, un modalidad de ciberdelito seguida por Lapsus$ y otras bandas de hackers, consiste en secuestrar los datos por medio de un software malicioso (malware) que cifra archivos impidiendo que el usuario pueda tener acceso al contenido. De ese modo, los datos quedan secuestrados, encriptado e inaccesible para la víctima hasta el pago de un rescate, en general a través de criptomonedas.

El episodio obligó a Mercado Libre, empresa que cotiza en la Bolsa de Nueva York e integra el Nasdaq, el índice de las compañías tecnológicas, a informar a sus inversores. Por ello envió una nota a la Security and Exchange Commision (SEC), el organismo que regula el mercado de capitales, similar a la Comisión Nacional de Valores en la Argentina. Ese envío es conocido como “formulario 8 K”, a través del cual la empresa informa aquellos hechos sobre su actividad que puedan resultar de relevancia tanto para sus accionistas como par el resto del mercado y sus organismo reguladores.

A nivel local, el hackeo a Mercado Libre ocurrió mientras se desarrolla un intenso debate entre bancos y fintech por la seguridad de las operaciones en las que interactúan, tal como informó Infobae la semana pasada. Las normas indican que las transferencias entre cuentas bancarias y virtuales (como las de Mercado Pago) deben hacerse en igualdad de condiciones. Pese a ello, muchos bancos líderes ponen topes a esas transferencias de dinero.

El argumento de los bancos para justificar los límites en el giro de dinero hacia las fintech es que los sistemas de seguridad de éstas no son lo suficientemente sólidos y que con los topes a las transferencias se redujeron los ilícitos. También explican que no siempre las billeteras digitales tienen un segundo “factor de autenticación”, es decir, dos maneras de identificarse. La primera es ingresando usuario y clave; la segunda clave puede ser un token, un mensaje de texto, Google Authenticator o apoyar la huella digital, entre otras vías.

SEGUIR LEYENDO: