En las últimas horas hemos sabido que Razer, el fabricante de hardware especializado en el mundo del gaming, ha sufrido una filtración, por culpa de la cual se han visto expuestos los datos personales de alrededor de 100.000 clientes de la empresa de Singapur. Un problema, visto de manera general, puede tener cualquier empresa, pero que es recomendable analizar un poco, solo un poco más en profundidad, para comprobar qué podemos aprender del mismo, y en qué puntos hablamos de una gestión francamente mejorable.
El problema comienza el 18 de agosto, cuando el experto en ciberseguridad Bob Diachenko detecta que una configuración errónea en uno de sus servidores Elasticsearch, un motor de gestión y análisis de datos muy popular de y uso muy extendido. Y debido a ese fallo en la configuración, y según las estimaciones de Diachenko, quedaban expuestos los datos de alrededor de unos 100.000 clientes de la compañía. Hablamos de una base de datos que contiene nombres completos, correos electrónicos, números de teléfono y direcciones postales.
Al detectar la incidencia, el investigador se puso en contacto con Razer, y es aquí dónde nos encontramos con lo que sí que resulta verdaderamente criticable de su proceder, puesto que pese a que Diachenko intercambió mensajes con varias personas de la compañía, ésta tardó más de tres semanas en resolver el problema de seguridad. Tres semanas durante las cuales los datos de los clientes permanecieron expuestos sin que Razer hiciera nada para evitarlo.
El problema fue finalmente resuelto por Razer el 9 de septiembre, tras varios contactos del investigador con la compañía. En ese momento la compañía emitió un comunicado en el que informaba de la incidencia y se disculpaba con sus clientes. También afirmaba que los datos de pago de los mismos no se habían visto comprometidos y completaba su mensaje con algunas recomendaciones y una dirección de correo electrónico de contacto para los clientes que se pudieran haber visto afectados por la filtración.
Los problemas de seguridad están a la orden del día, y un fallo de configuración, siendo honestos, lo puede cometer cualquiera. Lo que me preocupa de este caso, lo que me parece verdaderamente serio y preocupante, es la alarmante parsimonia con la que Razer ha gestionado este incidente. No es normal (aunque pueda ser común) un tiempo de respuesta de más de tres semanas para un incidente de este tipo. Normas legales como la DPR marcan un tiempo máximo de respuesta y comunicación de 72 horas, y entiendo que es una norma que debería extenderse de manera global.
Y es que, aunque los datos de pago no se hayan visto comprometidos, no podemos decir lo mismo de la privacidad de los clientes, cuyos datos han permanecido expuestos más de tres semanas, pese a que Razer tenía conocimiento de ello. No sé, pero tengo la sensación de que todavía hay muchas compañías que no se toman el problema de las filtraciones de datos tan en serio como deberían, y el caso de BHIM me parece un ejemplo perfecto de ello.
A continuación, añadimos la declaración oficial de Razer sobre el incidente:
Un investigador de seguridad nos informó de una mala configuración del servidor que potencialmente exponía los detalles de pedidos, la información del cliente y del envío. No se expuso ningún dato sensible como números de tarjetas de crédito o contraseñas, y esta configuración incorrecta del servidor se solucionó el 9 de septiembre.
Nos disculpamos sinceramente por lo acontecido y hemos tomado todas las medidas necesarias para solucionar el problema, así como para realizar una revisión exhaustiva de nuestros sistemas y seguridad de IT. Seguimos comprometidos con garantizar la seguridad digital de todos nuestros clientes.