Diego Coquillat - El Periódico de los Restaurantes

Los 5 mayores casos de hackeo a restaurantes y tiendas de alimentación de la historia

La aún reciente comparecencia de Mark Zuckerberg en el senado de EE. UU. nos recuerda el verdadero valor de los datos que a diario dejamos dispersos por la red en forma de huella digital.

No se trata simplemente de una cuestión de privacidad y cómo esta se ve vulnerada en diferentes ataques y brechas de información en redes sociales, sino de las consecuencias que estos datos pueden tener sobre nuestras vidas, y sobre las vidas de aquellos consumidores que cuentan con los servicios que otorgamos.

En este sentido, la ingeniería social permite a los hackers obtener información complementaria a través de aquella reunida con anterioridad de forma ilícita. Los datos bancarios, las credenciales de las tarjetas de crédito o incluso las contraseñas de nuestros correos son algunos de los objetivos principales de los piratas informáticos.

Aquellos negocios que mueven grandes volúmenes de transacciones y que cuentan con un número significativo de clientes virtuales son los más susceptibles de sufrir un ataque. Los restaurantes no son un excepción, ya que hoy en día gran parte del negocio se basa en plataformas digitales propias o externas que, de no contar con medidas de seguridad suficientes, pueden poner en entredicho los datos de los usuarios.

En los últimos años, hemos asistido al anuncio de diversos hackeos a restaurantes e híbridos con tiendas de alimentación. Algunas de la cadenas más importantes a nivel global han sufrido una vulneración de la privacidad de su clientela y, por ende, han visto tintado su renombre en el mercado.
Infobae

En los últimos años, hemos asistido al anuncio de diversos hackeos a restaurantes e híbridos con tiendas de alimentación. Algunas de la cadenas más importantes a nivel global han sufrido una vulneración de la privacidad de su clientela y, por ende, han visto tintado su renombre en el mercado.

Las siguientes cinco franquicias son los casos más sonados en la historia reciente.

1. El malware que azotó más de 1000 restaurantes de Wendy’s

En enero de 2016, el responsable de comunicaciones de Wendy’s, más conocido en la red por responder de forma mordaz e ingeniosa a las cuentas de los relaciones públicas de otras franquicias del sector, no se encontraba en la mejor posición: el departamento encargado de la protección de datos estaba investigando actividades sospechosas detectadas en el sistema informático de la empresa y Brian Krebs, un experto en ciberseguridad, había revelado el problema al mundo.

Los atacantes se infiltraron instalando malware que comprometió la información de las tarjetas de los consumidores en 1025 locales (un 18% del total) de la famosa cadena de comida rápida. El ataque informático tuvo como objetivo los terminales punto de venta desfasados que se usaban en los establecimientos que aún no habían recibido los nuevos modelos.

Esto pone de manifiesto la importancia de actualizar los sistemas de seguridad y el hardware en los restaurantes para mantenerse al día en la carrera armamentística que tiene lugar entre hackers y especialistas en seguridad informática.

El caso de Wendy’s tuvo repercusiones legales pues el estado de Pensilvania gestionó una denuncia en primera instancia emitida por la First Choice Federal Credit Union basada en “un enfoque permeable e inadecuado de la protección de datos”. Aunque las consecuencias legales aún están por ver, la pérdida de confianza por parte del consumidor preocupado no se hizo esperar.

Los atacantes se infiltraron instalando malware que comprometió la información de las tarjetas de los consumidores en 1025 locales (un 18% del total) de la famosa cadena de comida rápida. El ataque informático tuvo como objetivo los terminales punto de venta desfasados que se usaban en los establecimientos que aún no habían recibido los nuevos modelos.
Wendys

2. Otro terminal punto de venta vulnerable en Chipotle

Los TPV parecen ser la puerta para muchos accesos indeseados en el sector de la restauración. El anuncio del robo de la información de pago fue recibida por los mercados con una caída de 4.8% en bolsa.

El anuncio, realizado a finales de abril de 2017, indicaba que al ataque informático había afectado a la marca de forma integral: todos sus establecimientos se habían visto expuestos a las actividades ilícitas de los ciberdelincuentes.

Para frenar el impacto público en la medida de lo posible, el analista de seguridad que actuó como portavoz durante el suceso informó sobre las nuevas medidas tecnológicas que se acometerían próximamente para impedir, en la medida de lo posible, la continuidad de estos ataques y la vulneración de la privacidad de los consumidores.

El malware instalado en la mayoría de locales de Chipotle infectaba las cajas registradoras y capturaba la información acumulada en la banda magnética de las tarjetas de crédito. Los propietarios de dichas tarjetas pueden sufrir las consecuencias de la venta de las credenciales, su redistribución y el uso por terceros; aunque con más o menos facilidad suele ser la aseguradora bancaria la que acaba cubriendo los costes del complejo entramado ilegal que rodea este negocio. Un mal trago para acompañar los, por otro lado, deliciosos burritos de Chipotle.

El anuncio, realizado a finales de abril de 2017, indicaba que al ataque informático había afectado a la marca de forma integral: todos sus establecimientos se habían visto expuestos a las actividades ilícitas de los ciberdelincuentes.
Johnson City Press

3. El ataque informático a Whole Foods que aún no ha quedado esclarecido

El distribuidor de productos de alimentación y mercado orientado a la experiencia de usuario recientemente adquirido por Amazon también ha sufrido el embate de los hackers.

En este caso solo se vieron afectados aquellos locales dotados de bar o restaurante con servicio completo. El ataque informático no incidió sobre los equipos usados de forma general, pero los TPV empleados en estos establecimientos diferenciados fueron susceptibles al malware utilizado por los delincuentes.

Desde que tuvo lugar la notificación por parte de los responsables de Whole Foods en septiembre de 2017, los afectados no han recibido demasiada información adicional. Desde la empresa se les invita a comprobar sus extractos bancarios en busca de cargos no autorizados en lo que, a ojos de cualquier consumidor, es una tremenda inconveniencia prolongada en el tiempo.

En este caso solo se vieron afectados aquellos locales dotados de bar o restaurante con servicio completo. El ataque informático no incidió sobre los equipos usados de forma general, pero los TPV empleados en estos establecimientos diferenciados fueron susceptibles al malware utilizado por los delincuentes.
Whole Foods

4. Brechas de información bancaria en los drive-in de SONIC

El 26 de septiembre de 2017 Brian Krebs recogía la revelación de un nuevo caso de hacking en el mundo de la restauración.

Con la colaboración de varios expertos en fraude bancario con los que suele colaborar, Krebs estaba a la zaga de un lote de cinco millones de tarjetas de crédito estadounidenses que habían aparecido a la venta recientemente en un mercado negro conocido como Joker’s Stash.

¿Qué tenían en común todas estas tarjetas? Habían sido usadas previamente en los drive-ins de SONIC. A partir de ese momento, una llamada telefónica bastó para obtener confirmación por parte de la cadena: estaban investigando un incidente con varios locales en los que se había comprometido la información bancaria de los clientes.

El uso de TPV poco seguros es una plaga entre aquellos restaurantes que no son propiedad de la marca, sino que son operados bajo franquicia. Aquellos directivos que deseen mantener su imagen de marca puede que tengan que imponer controles más estrictos sobre los servicios de externalización bancaria y equipos involucrados.

En el mercado negro, las tarjetas de este lote se vendían por un importe de entre 20 y 40 euros, una cuantía risible teniendo en consideración los beneficios que podrían disfrutar los estafadores en caso de dar con un titular despistado.

Las tarjetas falsificadas de este tipo, vírgenes y segregadas por localidad, son extremadamente difíciles de localizar y recuperar. Al final las cenas en el SONIC salieron más caras de lo que se esperaba…

El uso de TPV poco seguros es una plaga entre aquellos restaurantes que no son propiedad de la marca, sino que son operados bajo franquicia. Aquellos directivos que deseen mantener su imagen de marca puede que tengan que imponer controles más estrictos sobre los servicios de externalización bancaria y equipos involucrados.
Youtube

5. Panera Bread y su mala gestión de la seguridad informática

Panera Bread ha sido la última compañía en unirse al selecto, aunque nada meritorio, grupo de grandes empresas de la restauración y venta de alimentos que han sido hackeados.

A diferencia de los cuatro casos anteriores, se sospecha de Panera como el principal culpable. Dylan Houlihan fue el primero en advertir a la panadería de moda sobre la brecha de información que presentaba su página web, la cual entregaba datos privados en forma de texto fácilmente legible sin ninguna preocupación por la privacidad o la seguridad bancaria de sus usuarios.

En su aporte en Medium, Dylan indica que en agosto de 2017 contactó con la compañía tras varios intentos infructuosos. Además de difícil de contactar, el responsable de Panera resultó arisco en el trato, inquiriendo sobre los ulteriores motivos de Dylan, quien se había ofrecido a analizar el incidente simplemente porque sus datos también estaban en juego.

Mike Gustavison, el interlocutor de Panera, aseguró poco después que se estaba trabajando en solucionar el problema. Varios meses más tarde, la web continuaba filtrando información privada y Dylan decide hacer público el asunto con la ayuda de Krebs.

Lejos de asumir los errores en el manejo de la información privada, el Directos de Protección de Datos de Panera Bread optó por minimizar el problema. Según su versión solo 10 000 usuarios se habían visto afectados. Con un poco más de tiempo, Krebs pudo perfilar una cifra más aproximada: 37 millones de personas habían visto su privacidad vulnerada.
Panera Bread Facebook

Lejos de asumir los errores en el manejo de la información privada, el Director de Protección de Datos de Panera Bread optó por minimizar el problema. Según su versión solo 10 000 usuarios se habían visto afectados. Con un poco más de tiempo, Krebs pudo perfilar una cifra más aproximada: 37 millones de personas habían visto su privacidad vulnerada.

La moraleja de estas cinco historias es que la información que confían los clientes a los restauradores ha de ser tratada con el pertinente recelo. No prestar la debida atención a las vulnerabilidades de nuestra web, aplicación o no conocer la seguridad de los servicios externos con los que se trabaja supone tirar piedras a nuestro propio tejado, porque cuando se pierde la confianza del cliente es imposible recuperarla.

5/5 - (1 voto)
Suscripción a Diego Coquilla; El Periódico de los Restaurantes

Deja un comentario

×