¿Qué datos personales le robaron a McDonald’s? No queda muy claro: ni la comunicación corporativa de la cadena, administrada por Arcos Dorados México, ni las respuestas a un cuestionario que hice llegar a su equipo de prensa ayudan a clarificar.
De hecho, McDonald’s ha sido hermético en la comunicación del incidente de ciberseguridad: comunicó a los afectados 16 días después de ocurrido el hackeo, cuando la ley de protección de datos personales exige la máxima celeridad, para que los titulares de los datos tomen medidas para resguardar su seguridad tras la filtración. McDonald’s publicó una “carta de notificación” con detalles del hackeo en una liga a la que es imposible llegar desde su sitio web. En la práctica, parece que McDonald’s quiere ocultar o minimizar el incidente.
En una comunicación directa con los afectados en Viernes Santo (15 de abril), McDonald’s les informó que “es posible que su nombre, estado civil, dirección, e-mail, número de documento de identidad y número de teléfono hayan quedado desprotegidos”.
En la notificación publicada en lo más profundo de su red, con fecha del 13 de abril, McDonald’s agrega que entre los datos filtrados había “correo electrónico, nacionalidad, código postal, nombre y apellido, fecha de nacimiento, producto favorito en McDonald’s e intereses familiares”.
Consulté directamente al equipo de comunicación de McDonald’s (Arcos Dorados México) para conocer mayores detalles del incidente, con preguntas como ¿Cuántos clientes mexicanos se vieron afectados por el incidente de seguridad? (Pregunté por México, porque la vulneración de información también afectó a ciudadanos de Costa Rica). ¿Cuántos trabajadores se vieron afectados? ¿Cuáles datos personales estuvieron en riesgo? y ¿Por cuánto tiempo estuvo activo este “incidente cibernético”? Recibí una respuesta de 149 palabras:
“Debido a que las investigaciones en curso son confidenciales no podemos brindar más información en este momento. Tan pronto conocimos el incidente sufrido por uno de nuestros proveedores de servicios de IT [tecnologías de información], tomamos medidas adicionales de seguridad y, en cumplimiento de las regulaciones en la materia y actuando bajo el principio de transparencia, ética y responsabilidad; informamos a las autoridades mexicanas correspondientes y notificamos a un grupo limitado de consumidores en México cuyos datos quedaron posiblemente desprotegidos.
“Es importante aclarar que no almacenamos información sensible ni datos bancarios de los consumidores; y que esta información se encuentra dentro del marco usual de nuestra actividad comercial y se ajusta a la Ley de Protección de Datos vigente en el país.
“En Arcos Dorados México seguimos trabajando con nuestros proveedores para reforzar la seguridad de la información de nuestros clientes que nos permita seguirles ofreciendo el mejor servicio en nuestros restaurantes”.
Se pueden cuestionar algunos valores consignados en el comunicado de McDonald’s, como los de “transparencia, ética y responsabilidad” ante la escasez de información sobre el incidente y la demora en comunicar a los afectados. Es lógico: en una economía basada en la reputación a nadie le gusta reconocer errores ni admitir que ha puesto en riesgo a sus consumidores.
Créditos: José Soto Galindo