Lectura 5:00 min
Lecciones del hackeo a Mercado Libre
En la era digital hay tres clases de compañías: las que van a ser hackeadas, las que ya fueron hackeadas y las que volverán a ser hackeadas. Mercado Libre es la nueva chica en el barrio de los ataques cibernéticos que se conocen públicamente.
La noche del domingo 6 de marzo, los sistemas informáticos de Mercado Libre —un monstruo del comercio electrónico que en 2021 facturó 7,000 millones de dólares— fueron objetivo de un ataque que logró acceso a su código fuente, las líneas de software que permiten construir la página web. La o las personas atacantes accedieron a datos de 300,000 usuarios de Mercado Libre a escala global (0.21% del total de usuarios de la compañía de comercio electrónico). En México se vieron afectadas 50,000 cuentas (0.03%).
De acuerdo con su equipo de prensa, “ningún dato crítico” resguardado por Mercado Libre, “como contraseñas, datos de tarjetas, saldos de Mercado Pago”, fue obtenido por la o los atacantes. “La cuenta como tal de ningún usuario fue comprometida”, apenas se obtuvieron los nombres de las cuentas afectadas y de los correos electrónicos vinculados. “Tampoco hubo compromiso de nuestra infraestructura ni acceso a nuestras bases de datos. Ningún servicio ni plataforma se vio afectada en su operación”, me dijo el equipo de comunicación.
La gravedad, entonces, habría sido menor, pero no tanto como para evitar comunicarla. Uno de los principales activos de las compañías de la economía digital, y sobre todo de las firmas operadoras de comercio electrónico, es su reputación. Comunicar el éxito de un ataque cibernético, así sea un éxito menor, debe ser muy doloroso para una compañía tecnológica seria.
Mercado Libre cotiza en la bolsa de Estados Unidos y está obligada por la SEC, la autoridad estadounidense del mercado de valores, a comunicar sobre ciberataques (una nueva regulación de la SEC pretende obligar a las compañías en bolsa a que comuniquen en un plazo máximo de cuatro días).
En México, en términos de la ley de protección de datos personales, Mercado Libre está obligada a comunicar sólo a los titulares de los datos de las cuentas afectadas y sólo en caso de que la vulneración de seguridad “afecte de forma significativa los derechos patrimoniales o morales de los titulares” (artículo 20). En este caso, a los titulares de las 50,000 cuentas involucradas.
Si el ataque no fue grave, Mercado Libre actuó de manera proactiva con sus usuarios, lo que se agradece, comunicando sobre el incidente y ofreciendo consejos de seguridad para actuar en consecuencia.
Mercado Libre es una sobreviviente de la crisis de las puntocom de 2001, pionera en el comercio electrónico de América Latina y la compañía digital más grande del subcontinente, que ingresa 4,600 millones desde el comercio electrónico y 2,400 desde un boyante negocio financiero, a través de Mercado Pago y Mercado Crédito (esta vertical creció 72% en 2021 frente a 2020). Para 2022 anunció una inversión en México de casi 1,500 millones de dólares (no podía ser de otra manera, si su negocio aquí se duplicó en 2021 hasta los 1,172 millones de dólares).
Su balance financiero a la SEC no especifica el presupuesto que destina a seguridad y protección de la infraestructura (hardware y software), pero sí deja que el “proceso de actualización es costoso y la creciente complejidad y mejora de nuestro sitio web genera costos más altos”, pues una falta de mantenimiento “podría dañar materialmente nuestro negocio y nuestra capacidad para recaudar ingresos”.
Mercado Libre tiene claro que parte de su negocio se sostiene en la seguridad de la información. “Nuestra capacidad para operar nuestro negocio día a día depende en gran medida del funcionamiento eficiente de nuestra infraestructura de tecnología de la información y de nuestros proveedores de nube, el más grande de los cuales es Amazon Web Services. Hemos sido y somos susceptibles de ataques a nuestros sistemas u otras vulneraciones de seguridad por parte de terceros no autorizados”, se lee en su informe financiero para 2021.
Y a pesar de todo esto, la noche del domingo 6 de marzo Mercado Libre sufrió una vulneración de gravedad suficiente para ser comunicada. Si un gigante del comercio electrónico y las fintech (servicios financieros digitales, por su acrónimo en inglés), que entiende que su negocio se basa, entre otras cosas, en la seguridad de la información, es víctima de ciberataques que tienen éxito, así sea menor, ¿qué podemos esperar de compañías menos preocupadas en la ciberseguridad? ¿Y qué podemos esperar de los gobiernos, a veces tan preocupados en la austeridad y en los ahorros presupuestales?