El Instituto Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (INAI) de México iniciará una investigación de oficio por la presunta divulgación de datos personales de los clientes de Ticketmaster. La compañía sufrió uno de los hackeos más grandes de su historia hace dos meses.
La empresa propiedad del conglomerado Live Nation notificó la semana pasada que un grupo de usuarios de México, Canadá y Estados Unidos se vio afectado por el ataque. En un correo electrónico enviado a las posibles víctimas dijo que entre los datos extraídos por los criminales se encuentran nombres completos, direcciones, números telefónicos y números de tarjetas bancarias. Agregó que la filtración ocurrió entre el 2 de abril y el 18 de mayo.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México dictamina que “las empresas privadas o personas morales que traten con datos personales están obligadas a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger la información contra daño, pérdida, alteración, destrucción y el uso, acceso o tratamiento no autorizado”. El INAI destaca que organizaciones como Ticketmaster están obligadas a cumplir con los principios, deberes y obligaciones previstos en la norma.
Ticketmaster ha pedido a sus clientes mantenerse atentos a cualquier movimiento inusual en sus cuentas bancarias y tomar medidas preventivas para evitar el robo de identidad y fraudes asociados. Asegura que trabaja con las autoridades correspondientes, expertos en ciberseguridad y con las entidades financieras para dar seguimiento al caso.
La compañía ha reforzado sus medidas de seguridad con acciones correctivas como “la rotación de las contraseñas de todas las cuentas asociadas a la base de datos en la nube que fue afectada, la revisión de los permisos de acceso y el aumento de los mecanismos de alerta”. Las personas involucradas en el incidente tendrán acceso gratuito por un año a la plataforma de TransUnion, un servicio de monitoreo de identidad.
La Procuraduría Federal del Consumidor (Profeco) solicitó a Ticketmaster un informe sobre el alcance de la filtración. La dependencia dará seguimiento a las acciones de respuesta, contención y prevención puestas en marcha por la corporación. Estará pendiente para atender las quejas y demandas de los usuarios afectados.
El INAI indicó que los afectados pueden denunciar el uso indebido de su información personal a través del número 800 835 4324, mediante el correo [email protected] o de manera presencial en las instalaciones del organismo. Los interesados deberán llenar el formato de denuncia disponible en la página web de la institución.
El gran hackeo de Ticketmaster
El medio especializado Hackread informó a finales de mayo sobre una falla de seguridad en el sistema de Ticketmaster. La brecha comprometió la información de más de 560 millones de personas a nivel mundial. El grupo de hackers ShinyHunters se atribuyó el ataque. Extrajo una base de datos de 1.3 terabytes que puso a la venta por un pago único de 500,000 dólares. Los delincuentes se comunicaron con la empresa para negociar un rescate, pero no recibieron respuesta.
Informes posteriores determinaron que los ciberdelincuentes accedieron a los datos luego de robar las contraseñas de inicio de sesión de Snowflake. Se trata de una una plataforma de almacenamiento y análisis de datos en la nube que Ticketmaster utiliza para gestionar la información de sus clientes. Alrededor de 160 clientes de Snowflake también sufrieron vulneraciones similares. Uno de los casos más relevantes fue el de Santander. El banco padeció un hackeo masivo en Chile, España y Uruguay.
Los especialistas recomiendan a los clientes de Ticketmaster cambiar sus contraseñas, revisar sus cuentas bancarias en busca de cargos no reconocidos y reportar correos electrónicos, mensajes de texto y llamadas de seguimiento sospechosos que solicitan información confidencial.
“La cantidad de datos personales que contiene esta brecha de enormes dimensiones hace que sea especialmente preocupante. Como la información sensible está ahora a la venta, los afectados deben extremar las precauciones. Las violaciones de datos de alto perfil pueden tener consecuencias graves para los clientes como el robo de identidad y el fraude financiero”, recordó Jake Moore, asesor de ciberseguridad global de la empresa de ciberseguridad ESET.
