Así se reponen las españolas Typeform y Jobandtalent de robos masivos de datos

  • Las startups buscan protegerse tras sendos ciberataques que han dejado al descubierto datos de cientos de miles de usuarios y clientes.
Tres directivos de Jobandtalent.
Tres directivos de Jobandtalent.
Jobandtalent

Primero fue en la startup de formularios online Typeform hace un par de semanas. Ahora es Jobandtalent la que trata de tapar la vía de agua a través de la cual han recibido un ataque que ha dejado al descubierto datos de cientos de miles de usuarios de su plataforma de empleo temporal.

Ambas startups, dos de las más destacadas del ecosistema español valoradas de decenas de millones de euros, tratan ahora de protegerse del impacto. Estos ataques saldrán mucho más a la luz, pues el Reglamento General de Protección de Datos (GDPR) obliga a informar en las próximas 72 horas de una filtración de datos.

Jobandtalent, hasta el 20% de sus usuarios

“Estamos aún analizando cuál ha sido el impacto, pero estimamos que como máximo ha afectado al 20% de nuestros usuarios”. Son las palabras de Juan Urdiales, consejero delegado de Jobandtalent. La compañía sufrió el pasado 5 de julio un ciberataque gracias al cual entraron de manera no autorizada en su servidor. Recopilaron el nombre, el email y la contraseña encriptada de varios miles de usuarios.

¿Quiénes son los afectados? Urdiales reconoce que el ataque sólo se ha limitado al área vinculada a la plataforma de anuncios clasificados, donde llegaron a contar con 10 millones de usuarios, y no al de ETT digital, donde sí que aglutinan datos más sensibles vinculados a la gestión laboral (nóminas, Seguridad Social…) “No sabemos la base de usuarios, pero como máximo será el 20% del total”, apunta.

La compañía, que acaba de cerrar una operación de deuda con un fondo vinculado al 'bolichico' venezolano Alejandro Betancourt, puede enfrentarse a un problema de imagen ante sus clientes -grandes empresas que deciden digitalizar el proceso de contratación de trabajadores temporales- y sus usuarios -potenciales empleados que buscan participar en procesos de selección-. “Es un tema grave y no vamos a restar ni un ápice de gravedad, pero no creo que afecte”, apunta Urdiales.

Typeform, con muchas más ramificaciones

El ataque a Jobandtalent llega sólo dos semanas después de que otra startup, Typeform, se viera golpeada por otro en el seno de su plataforma para llevar a cabo formularios y consultas a través de internet. Fue el 27 de junio cuando la compañía, con sede en Barcelona y con gigantes del capital riesgo como General Atlantic e Index Ventures en su accionariado, recibió la ‘visita’ de un intruso. Dos días después decidieron comunicárselo a sus particulares ‘clientes’: organizaciones, empresas y particulares que utilizan su herramienta online y pagan una mensualidad.

¿La afección? No se ha dado a conocer por parte de la empresa el número total de datos de usuarios que se han quedado al descubierto. Hay algunas fuentes que hablan de más de 100.000. Pero, la realidad es que han sido muchas las organizaciones que han sido afectadas.

El banco móvil Monzo ha reportado que 20.000 cuentas han sido afectadas (en la inmensa mayoría de los casos sólo se han robado los emails y en otros caso también el código postal o la cuenta de Twitter); la cadena de tiendas de alimentación gourmet y de lujo Fortnum & Mason confirmó que los datos de 23.000 clientes también estuvieron comprometidos. A estos se suman otros como la comisión electoral de Tasmania (Australia), dos partidos conservadores de Reino Unido o la cadena de hoteles Travelodge. Esta última asegura que la información filtrada podría incluir el nombre, correo, teléfono móvil o la fecha de nacimiento.

Hay un problema añadido muy significativo: la empresa ha recibido críticas por no haber borrado una copia de seguridad con los datos, que fue a la que accedió el ‘hacker’. “En el momento en que Typeform fue víctima de este ataque, estaba en el proceso de completar una prueba de ciertas funcionalidades utilizando la copia de seguridad parcial no encriptada”, aseguraba tras las críticas de un usuario.

"El impacto en imagen ha sido mucho mayor que el de Jobandtalent. En no pocos casos los afectados son compañías que, a su vez, tienen que reportar y rendir cuentas de los correos que estaban vinculadas al ataque. El propio banco Monzo anunció que al menos por ahora concluyen su contrato con Typeform “al menos hasta que puedan probar que han mejorado su seguridad y han borrado todos los datos de clientes de sus servidores”.

La ‘ley de datos’ sacará más a la luz

Pese al impacto, varios expertos en ciberseguridad consultados por La Información confirman que se trata de robos de datos que se han venido repitiendo de manera sistemática en compañías, tanto pequeñas y startups como gigantes. Hay una gran diferencia: ahora el Reglamento General de Protección de Datos (GDPR) obliga a informar sobre estas brechas de seguridad en un periodo máximo de 72 horas. “Antes este tipo de ataques no siempre se daban a conocer”, explica uno de ellos.

Desde que el GDPR entró en vigor el pasado 25 de mayo, los de Jobandtalent y Typeform son los dos principales ataques informáticos que han sufrido tecnológicas en España. Todos los expertos coinciden: habrá más.

Mostrar comentarios