Imagina que vas a tu cadena de restaurante favorito, compras un par de hamburguesas, refresco, patatas fritas, y pagas con tu tarjeta de crédito.
El restaurante es uno de los más grandes de tu país, así que das por hecho que es seguro todo en él. En este caso, hablamos de Wendy’s, una cadena de franquicias de Estados Unidos con miles de establecimientos por todo el país.
Luego de algunos días, en las noticias escuchas hablar sobre un robo de información de Wendy’s, dicha información consiste en tarjetas de crédito… como la tuya.
Ésta es la historia de cómo se hackeó a un restaurante, y la lección de cómo NO debes gestionar un problema. Da igual si tu restaurante es pequeño o un monstruo comercial.
¿En qué consistió el hackeo a Wendy’s y qué consecuencias tuvo?
A principios del año 2016, Wendy’s, a través de su portavoz, anunciaba en Estados Unidos, que “algunas de sus tiendas” habían sido víctimas de un hackeo (realmente un malware) que comprometió la información de dichas tiendas, especialmente la información de tarjetas de pago de sus clientes.
Esto, ya es señal de alarma, pero la cosa fue peor: el malware y el acceso a la información por parte de los ladrones o hackeadores, duró desde septiembre u octubre hasta febrero, es decir, durante meses pudieron hacer tranquilamente lo que quisieran con la información.
Las demandas por parte del gobierno y particulares, no se hicieron esperar, sobre todo en Estados Unidos, y la reputación de Wendy’s quedó en entredicho.
Se descubrió que los hackeadores aprovecharon que los POS (point of sale) de los restaurantes, estaban desfasados, sin actualizar y/o con contraseñas débiles, es decir, una brecha de seguridad, que es como se conoce al caso: la brecha de Wendy’s.
¿Cuáles fueron los errores de Wendy’s al gestionar el hackeo?
Aquí viene lo interesante: qué errores cometió Wendy’s y que pueden enseñarnos a nosotros a no cometer, da igual si es un problema a escala minúscula a comparación.
Aquí algunos datos de la gestión:
- Tardó 12 días en darse cuenta del fallo, y eso que fue por avisos de especialistas en la materia, no se dio cuenta por sí misma del fallo
- La empresa tardó 51 días en hacer público el fallo, cuando éste afectaba a miles de sus clientes por todo el país
- Tardó 143 días en solucionar el problema y anunciar el número y ubicación exactas de los restaurantes afectados
- En total, tardó 172 días entre que se dieron cuenta del fallo y su solución, aunque sin saber si ésta fue definitiva
- En febrero, dijeron que solo “algunas localidades” estaban afectadas; en julio se publicó la lista completa, y fueron 1.025 restaurantes afectados
- Wendy’s no ha hecho públicas las cantidades robadas, principalmente de tarjetas de débito, que ha debido de pagar a sus clientes, ni cuántos clientes se vieron afectados
Como puedes ver, hasta a empresas grandes les vienen problemas por algo tan relativamente sencillo: pagar por seguridad informática adecuada, cuidar la información de sus clientes, y agilidad al momento de gestionar dicha crisis.
Se desconoce el alcance legal de este hackeo, ni del dinero que le costará a la cadena, pero una cosa sí se sabe, porque ya han pasado tres años: el poder de la marca Wendy’s es poderosa, porque sus ingresos no se han visto disminuidos a pesar de dicha gestión.
