En los últimos años, los clientes de Dell han sido vÃctimas de llamadas de estafa de personas que afirman ser parte del equipo de soporte de la empresa. Los estafadores llaman desde un número de teléfono válido de Dell, conocen el nombre y la dirección del cliente, y utilizan información que solo deberÃan conocer Dell y el cliente, como el número de etiqueta de servicio, el modelo de la computadora y el número de serie asociado con una compra anterior. Luego, los llamadores intentan estafar al cliente para que realice un pago, instale un software cuestionable o tome alguna otra acción potencialmente dañina.
Recientemente, según numerosas publicaciones en las redes sociales, Dell notificó a un número no especificado de clientes que los nombres, las direcciones fÃsicas y la información de hardware y pedidos asociados con compras anteriores estaban de alguna manera relacionados con un "incidente que involucra a un portal de Dell, que contiene una base de datos con tipos limitados de información del cliente". Esta redacción vaga, sobre la cual Dell se niega a elaborar, parece confirmar una publicación del 29 de abril de Daily Dark Web que informaba sobre la oferta de vender supuesta información personal de 49 millones de personas que compraron equipos de Dell entre 2017 y 2024.
Detalles del incidente
Según tanto la notificación de Dell como el anuncio de venta, la información de los clientes afectados incluyó:
Nombre
Dirección fÃsica
Información de hardware y pedidos de Dell, incluida la etiqueta de servicio, la descripción del artÃculo, la fecha del pedido y la información de garantÃa relacionada
El Daily Dark Web amplió aún más los datos que, según el vendedor, habÃa adquirido:
Los datos, que se afirma que son información actualizada registrada en los servidores de Dell, incluyen información personal y de la empresa vital, como nombres completos, direcciones, ciudades, provincias, códigos postales, paÃses, etiquetas de servicio únicas de 7 dÃgitos de los sistemas, fechas de envÃo del sistema (inicio de la garantÃa), planes de garantÃa, números de serie (para monitores), números de cliente de Dell y números de pedido de Dell. Cabe destacar que el actor de amenaza afirma ser el único poseedor de estos datos, lo que subraya la gravedad del incumplimiento. Entre la asombrosa cantidad de registros, aproximadamente 7 millones de filas pertenecen a compras individuales/personales, mientras que 11 millones pertenecen a empresas del segmento de consumidores. Los datos restantes pertenecen a empresas, socios, escuelas o entidades no identificadas.
Posibles implicaciones
Este "incidente", como lo llaman los abogados y los especialistas en marketing de Dell, o incidentes similares que puedan haber ocurrido anteriormente, podrÃan resolver un misterio que ha atormentado a los clientes y a los periodistas durante casi una década: ¿cómo están los estafadores obteniendo información conocida solo por Dell y el cliente objetivo? Si bien ninguna de las fuentes mencionó que se vieron afectados los números de teléfono, no serÃa difÃcil para los estafadores usar los nombres y las direcciones fÃsicas para buscar esa información en otras bases de datos.
En un correo electrónico, un representante de Dell dijo: "No hay indicios de que estos incidentes estén relacionados", sin elaborar. El representante se negó a responder preguntas adicionales, incluido si la empresa tiene alguna idea de cómo la información de los clientes ha estado llegando a manos de los estafadores durante casi una década. La notificación también indicó: "Creemos que no hay un riesgo significativo para nuestros clientes dado el tipo de información involucrada".
Consejos de seguridad para los clientes de Dell
Las personas que reciban llamadas no solicitadas que afirmen provenir de Dell deben colgar y o bien ignorarlas o bien llamar directamente a la lÃnea de soporte de Dell. No deben participar con el llamador ni proporcionar ninguna información. También es posible que los estafadores en posesión de esta información la puedan usar en el correo enviado a su dirección de correo electrónico o fÃsica, suponiendo que los estafadores puedan encontrarla a través de un servicio de búsqueda de personas. El mismo consejo se aplica.
Antecedentes del problema de las llamadas de soporte de Dell
Como informé en 2016 y de nuevo 18 meses después, numerosos clientes de Dell han reportado recibir este tipo de llamadas. La respuesta oficial de Dell en ambas ocasiones afirmaba que las llamadas eran parte de un problema generalizado en la industria que afecta a muchas empresas tecnológicas. Hasta el dÃa de hoy, Dell no ha reconocido que las llamadas son diferentes porque utilizan información conocida solo por Dell y el cliente.
Preocupaciones de los clientes
Un cliente que recibió una de estas notificaciones expresó su genuina preocupación: "Realmente me pregunto qué deberÃa preocuparme. No puedo pensar en un escenario en el que esta información pudiera ser aprovechada".
Si bien esto puede no ser un problema para algunos clientes, existe el riesgo de que clientes mayores ingenuos de Dell reciban una llamada del "soporte de Dell" sobre su "nombre de producto especÃfico aquÃ" y se les informe de un "problema de seguridad crÃtico" con el dispositivo. Es probable que estos consumidores ingenuos permitan que este agente útil se conecte de forma remota al dispositivo para "solucionar" el problema.
Además, se les pedirá que envÃen el pago a través de [tarjetas de regalo preferidas] para ayudar a resolver el problema. A partir de ahÃ, se documentan delitos de fraude.
Posibles usos indebidos de la información filtrada
Si bien Dell afirma que "no cree que haya un riesgo significativo para nuestros clientes dado el tipo de información involucrada", la información robada podrÃa utilizarse potencialmente en ataques dirigidos contra los clientes de Dell.
A pesar de que no se incluyeron direcciones de correo electrónico, los actores de amenaza podrÃan dirigir envÃos fÃsicos a los clientes con enlaces de phishing o que contengan medios (DVD/unidades USB) para instalar malware en los dispositivos de los objetivos.
Si bien esto puede sonar descabellado, los actores de amenaza han llevado a cabo ataques similares en el pasado, enviando por correo fÃsico billeteras de hardware Ledger alteradas que robaban criptomonedas o enviando regalos con unidades USB que instalaban malware.
Investigación en curso y falta de transparencia de Dell
Dell se ha negado a revelar más detalles sobre el alcance del incidente o cómo la información de los clientes ha estado llegando a manos de los estafadores durante casi una década. La empresa ha adoptado un enfoque vago y poco transparente al describir el "incidente", lo que ha dejado a los clientes con más preguntas que respuestas.
Posibles escenarios de explotación de la información filtrada
Dada la naturaleza delicada de la información robada, que incluye detalles como números de serie, fechas de envÃo y planes de garantÃa, los actores de amenaza podrÃan utilizar esta información para lanzar ataques más sofisticados y convincentes contra los clientes de Dell.
Por ejemplo, podrÃan enviar por correo fÃsico dispositivos o accesorios "actualizados" que en realidad contengan malware, o incluso intentar obtener acceso remoto a los sistemas de los clientes bajo el pretexto de proporcionar soporte o resolver problemas de hardware. Esto podrÃa permitir a los atacantes robar aún más información sensible o incluso tomar el control de los dispositivos de los clientes.
Recomendaciones para los clientes afectados
Los clientes de Dell que hayan recibido una notificación sobre este incidente deben estar especialmente atentos a cualquier comunicación sospechosa, ya sea por correo electrónico, postal o telefónica, que parezca provenir de Dell. Es crucial verificar la legitimidad de cualquier solicitud o oferta antes de tomar medidas, ya sea contactando directamente a Dell o ignorando por completo la comunicación.
Además, los clientes deben monitorear de cerca sus cuentas y actividades financieras en busca de cualquier actividad sospechosa y denunciar de inmediato cualquier incidente de fraude o robo de identidad a las autoridades correspondientes.
Implicaciones más amplias y lecciones aprendidas
Este incidente de Dell subraya la necesidad apremiante de que las empresas tecnológicas mejoren sus prácticas de seguridad y protección de datos para evitar que se produzcan brechas similares en el futuro. La falta de transparencia y la negativa de Dell a abordar adecuadamente el problema de las llamadas de soporte fraudulentas durante años también plantea preguntas sobre la rendición de cuentas y la responsabilidad de las empresas cuando se produce una filtración de datos.
A medida que los ciberdelincuentes se vuelven cada vez más sofisticados en sus tácticas, los consumidores también deben estar más atentos y educados sobre cómo protegerse contra posibles abusos de su información personal. Este incidente de Dell sirve como un recordatorio importante de la importancia de la ciberseguridad y la privacidad de los datos en la era digital actual.