Empleado de Trend Micro vendió datos de clientes a estafadores
Un empleado desleal de Trend Micro vendió datos de los clientes a estafadores telefónicos
Trend Micro, la popular firma de seguridad ciberética, reveló un incidente de seguridad esta semana llevado a cabo por un empleado que accedió de forma inadecuada a los datos personales de miles de sus clientes con una «clara intención criminal», y luego los vendió a un estafador malicioso de soporte técnico a inicios del año.
Según la compañía, un número estimado de clientes afectados por la violación de seguridad es de 68 mil, que es menos del uno por ciento de la base de 12 millones de clientes de la empresa.
Trend Micro se percató por primera vez del incidente a inicios de agosto de 2019, cuando descubrió que algunos de sus clientes consumidores estaban recibiendo llamadas fraudulentas por parte de delincuentes que se hacían pasar por su empleado de soporte, lo que inicialmente llevó a la compañía a sospechar un ataque coordinado.
Sin embargo, una investigación exhaustiva del por lo menos dos meses sobre el asunto, reveló que el incidente no se debió a un ataque externo de sus sistemas, sino a una persona con información privilegiada, que obtuvo acceso a una de las bases de datos de atención al cliente de Trend Micro.
«Fue el trabajo de una fuente interna maliciosa que participó en un plan de infiltración premeditado para evitar nuestros controles sofisticados», dijo la compañía en su blog.
La base de datos robada contenía los nombres de los clientes consumidores de Trend Micro, direcciones de correo electrónico, números de tickets de soporte de Trend Micro y algunos números de teléfono.
Según la compañía, el empleado no parecía haber robado ninguna información financiera o de tarjeta de crédito, y ningún negocio de Trend Micro o clientes gubernamentales se vieron afectados por la violación.
La investigación también reveló que el empleado deshonesto vendió la información a un tercero malicioso, «actualmente desconocido», lo que resultó en que algunos de sus clientes recibieran llamadas fraudulentas de personas que se hacían pasar por empleados de Trend Micro.
La compañía no ha revelado la identidad del empleado, pero dijo que deshabilitó la cuenta del empleado y fue despedido, además de haber notificado a la policía.
Ahora, la compañía está advirtiendo a sus clientes sobre las llamadas falsas, afirmando que su personal de atención al cliente nunca llama a las personas «inesperadamente», incluso si han comprado su producto de consumo.
«Si se realiza una llamada de soporte, se programará con anticipación. Si se recibe una llamada telefónica inesperada que dice ser de Trend Micro, cuelgue e informe el incidente al soporte de Trend Micro utilizando nuestros datos de contacto oficiales».