El líder fintech canadiense, con 61.000 millones de dólares en activos, fue víctima de un ataque de ciberdelincuentes
Cuando el código ajeno socava la confianza.
A finales de agosto, la empresa fintech canadiense Wealthsimple registró un incidente de seguridad que afectó a una pequeña parte de sus clientes. Como comunicaron en la organización, el 30 de agosto se detectó la compromisión de un paquete de software de un desarrollador tercero del que dependía el sistema. Esto provocó un acceso no autorizado de corta duración a información personal de menos del 1% de los usuarios. Los fondos y las contraseñas no se vieron afectados y todas las cuentas permanecieron bajo el control total de sus titulares.
Wealthsimple opera desde 2014 y tiene su sede en Toronto. Bajo la gestión de la compañía hay más de 84,5 mil millones de dólares canadienses en activos, lo que equivale aproximadamente a 61 mil millones de dólares estadounidenses. El servicio atiende a más de 3 millones de clientes en todo Canadá, abarcando inversiones, trading, criptomonedas, servicios fiscales, así como productos para gastos y ahorros cotidianos. La aplicación de Wealthsimple para Android se ha descargado más de un millón de veces, y la versión para iOS ha recibido más de 126 000 reseñas de usuarios.
El problema se localizó en cuestión de horas tras su detección. Para la investigación se contrataron especialistas externos y se notificó a los organismos reguladores estatales responsables de la protección de datos personales y del control del sector financiero. Al mismo tiempo, la compañía envió cartas a todos los afectados: el envío masivo se completó el 5 de septiembre a las 10:30 de la mañana, hora del Este. Los clientes que no recibieron la notificación no resultaron afectados.
Entre los datos sustraídos se encontraban datos de contacto, documentos facilitados al registrarse en el servicio, números de cuenta, direcciones IP, fechas de nacimiento y números de seguro social. La información financiera, como saldos o transacciones, permaneció inaccesible para los atacantes.
Para compensar el perjuicio, Wealthsimple ofreció a todos los afectados un paquete de protección de dos años que incluye supervisión crediticia, seguimiento de filtraciones en la dark web, seguro contra el robo de identidad y un servicio de atención especializado. Se asignó un equipo dedicado para comunicarse con los clientes cuyos datos resultaron comprometidos.
Algunos analistas relacionaron el incidente con los recientes ataques a Salesforce atribuidos al grupo ShinyHunters. Sin embargo, los representantes de Wealthsimple negaron esa hipótesis, subrayando que el incidente no está relacionado con esos casos.
La compañía también instó a los usuarios a reforzar su propia protección. Entre las recomendaciones figura utilizar la autenticación de dos factores (2FA) mediante aplicaciones generadoras de códigos, no emplear las mismas contraseñas en distintos servicios y proceder con precaución ante correos o llamadas de phishing. Wealthsimple enfatizó que nunca solicita a los clientes la entrega de contraseñas o códigos de verificación ni pide que transfieran fondos.
Según los representantes de la firma, la confianza de los clientes es de máxima importancia. Por eso la información sobre el incidente se hizo pública inmediatamente después de completarse la revisión inicial y las medidas para mejorar la seguridad se implementaron sin demora.
¿Estás cansado de que Internet sepa todo sobre ti?