Horas antes de un largo Durante el fin de semana festivo en los Estados Unidos, el gigante de la electrónica Samsung anunció que sus sistemas estadounidenses habían sido violados un mes antes por piratas informáticos maliciosos, que irrumpieron y se llevaron gran cantidad de información personal sobre un número no especificado de sus clientes.
La violación de datos es probablemente significativa. Samsung es una de las compañías de tecnología más grandes con cientos de millones de propietarios de dispositivos y usuarios en todo el mundo. Pero el aviso de violación de datos mal explicado de Samsung, junto con su retraso inexplicable en revelar la violación de datos, dejó a los clientes leyendo las hojas de té y sin una idea clara de lo que pueden hacer para protegerse, si es que lo hacen.
TechCrunch ha marcado y anotó el aviso de violación de datos de Samsung ?️ con nuestro análisis de lo que significa, y lo que Samsung deja de lado.
Los portavoces de Samsung, a través de la empresa de comunicaciones de crisis Edelman, se negaron a responder las preguntas que enviamos antes de la publicación, citando la «naturaleza continua de nuestra coordinación con las fuerzas del orden».
Lo que dijo Samsung en su aviso de violación de datos
Samsung sabe que el incidente de seguridad es una violación de datos
No todos los incidentes de seguridad se crean por igual. Los piratas informáticos maliciosos no siempre roban datos; depende de cómo estén configurados los sistemas y la red de una empresa y de lo lejos que lleguen los piratas informáticos. En este caso, Samsung sabe que los datos fueron «adquiridos» ?️ —o exfiltrado— por los piratas informáticos.
Recuerde, esta es solo la divulgación inicial de incumplimiento. Samsung proporciona lo mínimo de lo que la empresa tiene para decirle. El hecho de que los piratas accedieran a la información personal de los clientes muestra que Samsung no protegió esos datos tan bien como debería, o que los piratas informáticos tenían un acceso tan profundo a la red de Samsung que pudieron acceder a los datos de los clientes y presumiblemente a otros archivos altamente confidenciales. Esta es también la segunda violación de datos conocida de Samsung este año después de que el equipo de hackers de Lapsus$ robara el código fuente y otros documentos internos confidenciales de los sistemas de la compañía en marzo, aunque no se tomó información del cliente.
La información personal de los clientes fue robada
Samsung dice en su aviso de violación de datos ?️ que los piratas informáticos «en algunos casos» tomaron los nombres de los clientes, la información demográfica y de contacto, la fecha de nacimiento y la información de registro del producto. Eso sugiere que no todos los clientes de Samsung se ven afectados, pero también podría significar que Samsung aún no sabe cuántos datos fueron robados en su violación de datos.
Los nombres y fechas de nacimiento son información personal. No está tan claro qué otros datos fueron robados, pero las pistas están en la política de privacidad.
Samsung le dijo anteriormente a TechCrunch que los clientes brindan información al registrar sus dispositivos para acceder al «servicio y soporte, información de garantía, actualizaciones de software y ofertas exclusivas para la compra de futuros productos Samsung». Estos datos incluyen el modelo del producto Samsung, la fecha de compra y el identificador único del dispositivo, como un número IMEI para teléfonos e identificaciones publicitarias, o números de serie para otros dispositivos como televisores inteligentes.
Los identificadores únicos están diseñados para ser seudónimos, de modo que en caso de una violación de datos, estas cadenas aleatorias de letras y números no serían de mucha utilidad. Pero los identificadores únicos no son completamente anónimos y se pueden combinar con otros datos para publicidad dirigida o para identificar usuarios o rastrear la actividad en línea de alguien.
Los datos demográficos incluyen datos precisos de geolocalización
El aviso de violación de datos de Samsung incluye una vaga mención de «información demográfica» que fue robada por los piratas informáticos. Samsung dice que cobra esta información demográfica no especificada ?️ para «ayudar a brindar la mejor experiencia posible con nuestros productos y servicios», u otra forma de decir publicidad dirigida.
La política de privacidad de Samsung en EE. UU. explica esto de manera más explícita. “Las redes publicitarias nos permiten dirigir nuestros mensajes a los usuarios teniendo en cuenta los datos demográficos, los intereses inferidos de los usuarios y el contexto de navegación. Estas redes pueden rastrear las actividades en línea de los usuarios a lo largo del tiempo mediante la recopilación de información a través de medios automatizados, incluido el uso de cookies de navegador, balizas web, píxeles, identificadores de dispositivos, registros del servidor y otras tecnologías similares.
Samsung se negó a decirle a TechCrunch qué datos específicos incluye la «información demográfica», pero hay más pistas en la política de privacidad separada de la compañía para publicidad, a la que se vincula en el aviso de violación de datos y explica qué incluye la información demográfica.
La lista es larga y debe tomarse el tiempo para leerla detenidamente por sí mismo. La versión abreviada es que Samsung recopila información técnica sobre su teléfono u otro dispositivo, cómo usa su dispositivo, como qué aplicaciones ha instalado y qué sitios web visita, y cómo interactúa con los anuncios, que utilizan los anunciantes y los corredores de datos para inferir información sobre usted. Los datos también pueden incluir sus «datos precisos de geolocalización», que se pueden usar para identificar a dónde va y con quién se encuentra. Samsung dice que recopila información sobre lo que ve en sus televisores inteligentes, incluidos los canales y programas que ha visto.
Samsung también dice que «puede obtener otros datos demográficos y de comportamiento de fuentes de datos de terceros confiables», lo que significa que Samsung compra datos de otras compañías y los combina con sus propias tiendas de información de clientes para obtener más información sobre usted, nuevamente para publicidad dirigida. Samsung no dijo de qué compañías, como los corredores de datos, obtiene estos datos.
Pero esos mismos datos en manos de malos actores pueden revelar mucho sobre una persona y sus hábitos en línea.
¿Por qué Samsung simplemente no dice nada de esto en su aviso de violación de datos? Si bien es posible que los datos no sean de identificación personal, siguen siendo de naturaleza personal, ya que están vinculados a gustos, preferencias y nuestra actividad en el mundo real, razón por la cual los detalles esenciales de lo que las empresas como Samsung recopilan sobre usted a menudo están enterrados en el políticas de privacidad que nadie lee (y todos somos culpables de esto).
Samsung se negó a decir si los datos provenientes de terceros se vieron comprometidos en su incumplimiento, pero no cuestionó nuestras caracterizaciones cuando se contactó a los portavoces antes de la publicación.
Lo que Samsung no dice en su aviso de violación de datos
Samsung no dirá cuántos clientes se ven afectados
Samsung se negó a decirle a TechCrunch cuántos clientes se ven afectados por la violación. Podría ser que Samsung no lo sepa, lo cual es poco probable ya que ya envió correos electrónicos a los clientes que cree que están afectados. O, que es mas probable ?️es que la cantidad de clientes afectados es tan grande que Samsung no quiere que lo sepas porque a la compañía le parecería vergonzoso.
Samsung tiene cientos de millones de usuarios, pero rara vez revela cuántos clientes tiene. Incluso el 1% de los clientes afectados podría ascender a millones o decenas de millones de usuarios afectados.
No está claro por qué se mencionan los números de Seguro Social
El aviso de violación de datos notas llamativas ?️ que el incumplimiento “no afectó los números de Seguro Social ni los números de tarjetas de crédito y débito”. Tranquilizador a primera vista, pero la redacción no está clara. TechCrunch le preguntó a Samsung si recopila y almacena números de Seguro Social y si estos datos no se ven afectados, pero la compañía se negó a decir, solo que el problema «no afectó» a los números de Seguro Social. Samsung recopila números de Seguro Social como parte de sus opciones de financiamiento y como requisito para los usuarios de Samsung Money.
¿Por qué tomó un mes para notificar a los clientes?
Mirando a la línea de tiempo de la brecha ?️, Samsung dice que los piratas informáticos robaron datos a «finales de julio de 2022», lo que una lectura generosa podría interpretar como cualquier punto después de mediados de julio. Samsung podría revelar la fecha, si la conoce. También vale la pena señalar que esta es la fecha en que Samsung dice que los datos se extrajeron de su red y esto no incluye cuánto tiempo pasaron los piratas informáticos en los sistemas de Samsung antes de que finalmente fueran descubiertos. Descubrió la exfiltración de datos el 4 de agosto, lo que significa que Samsung no supo durante semanas que los datos de los clientes habían sido robados.
¿En cuanto a revelar la infracción un mes después, solo unas horas antes del cierre de operaciones un viernes antes de un largo fin de semana festivo? Bueno, eso es simplemente malas relaciones públicas.
Samsung actualizó su política de privacidad al revelar su incumplimiento
El mismo día que anunció su violación de datos, Samsung también impulsó una nueva política de privacidad para sus usuarios. Gracias a un lector que alertó a TechCrunch sobre esto, la nueva política ahora establece explícitamente ?️ que Samsung puede usar la «ubicación geográfica precisa» de un cliente para marketing y publicidad con el consentimiento del usuario. La nueva política ahora también explica ?️ durante cuánto tiempo Samsung almacena los datos que los usuarios comparten desde la función Quick Share. Samsung dice que puede «recopilar los contenidos que comparte, que permanecerán disponibles durante 3 días».
TechCrunch le preguntó a Samsung cómo define lo que define como consentimiento del usuario, pero un portavoz no lo dijo. Samsung no dijo por qué razón impulsó una nueva política de privacidad, pero afirmó que la actualización «no estaba relacionada» con el incidente y que estaba planeada previamente.
Si sabe más sobre la violación de datos de Samsung o trabaja en Samsung, puede comunicarse con este autor a través de Signal al +1 646.755.8849 o mediante SecureDrop.