En lo que se ha denominado como “una de las mayores operaciones de robo de tarjetas de crédito en la historia moderna”, un grupo de cibercriminales ha obtenido acceso a más de cinco millones de números de tarjetas de crédito y débito de clientes de Saks Fifth Avenue y Lord & Taylor, dos grandes tiendas conocidas por sus productos de alta gama y artículos de lujo.
La situación fue descubierta inicialmente por la firma independiente de seguridad cibernética Gemini Advisory, una vez que la disponibilidad de las tarjetas fue anunciada para su venta en la “dark web” la semana pasada.
En una publicación, Gemini apunta a un grupo de hackers conocido como «Fin7 Syndicate», quienes anunciaron el lanzamiento a la venta de más de cinco millones de tarjetas de crédito y débito robadas. El anuncio fue puesto en JokerStash, un centro en línea donde se publica regularmente información obtenida ilegalmente de tarjetas de crédito.
Las tiendas afectadas son propiedad de la empresa canadiense Hudson’s Bay Company, con sede en Canadá. La compañía matriz confirmó la violación de datos y dijo que ha «identificado el problema y ha tomado medidas para contenerlo». Como parte de su esfuerzo, se les pidió a los clientes que revisaran sus estados de cuenta, y que se comuniquen con sus bancos o compañías crediticias si notaron una actividad sospechosa en el último año.
«Notificaremos a nuestros clientes rápidamente, y ofreceremos a quienes fueron afectados servicios gratuitos de protección de identidad, incluido el monitoreo de crédito y web», dijo la compañía en un comunicado.
Sin embargo, el experto en ciberseguridad Manny Gómez asegura que este problema y la violación de seguridad podrían haberse evitado.
«Las grandes tiendas a nivel nacional como Lord & Taylor y Saks Fifth Avenue son un gran objetivo”, dijo Gómez en declaraciones a CBS. “Son tiendas de alta gama. Hay personas con muchos medios económicos que compran allí, y por lo tanto las tiendas deberían haber sido más proactivas en la forma en que protegían las tarjetas de crédito de sus clientes».
Gemini Advisory señala que la compañía se retrasó al modernizar sus máquinas que aceptan tarjetas de crédito deslizándose por una ranura, a las que tienen un área para insertar un chip, lo que podría haber abierto la puerta para este ataque.
«Las máquinas deslizables para tarjetas contienen menos protección. Las tarjetas tienen un chip, y es por eso que cuando colocas el chip en el interior de las nuevas máquinas, tarda unos segundos en retener la información», dijo Gómez.
Los compradores dijeron que estaban sorprendidos por la situación, dada la buena reputación de las tiendas de alta gama.