5 empresas que han sufrido violaciones de datos y han pagado el precio

Publicado: 2025-04-01

Las violaciones de ciberseguridad están empeorando. A medida que continúa el desarrollo de la IA, los delincuentes emplean métodos cada vez más sofisticados para engañar a las personas desprevenidas y obtener acceso a su información. Según el informe Tech.co " Impacto de la tecnología en el lugar de trabajo ", al menos el 16% de las empresas experimentaron una violación en 2024, con otro 5% inseguro.

Las repercusiones de estas violaciones de datos pueden ser graves. A corto plazo, podría enfrentarse a problemas financieros significativos. Por ejemplo, los cibercriminales pueden mantener su información al rescate. Si no paga, puede terminar en la web oscura, momento en el que sus clientes probablemente presentarán una demanda.

Sin embargo, a largo plazo, las empresas experimentan las consecuencias más directas. Recientemente, los informes surgieron que la firma de pruebas de ADN 23andMe debía declararse en bancarrota y luego venderse a sí misma, ya que continúa sufriendo las consecuencias de una violación de alto perfil en 2023. Y hay innumerables otros ejemplos.

Desde destruir su reputación hasta saquear sus finanzas, las violaciones de datos pueden tener un impacto verdaderamente catastrófico en su empresa. En esta guía, he reunido una lista de algunas de las empresas que han tenido que soportar dificultades extremas debido a un ciberataque.

23 y

Como se mencionó anteriormente, la empresa de pruebas genéticas se ha visto envuelta en problemas legales desde que fue afectada por una violación de datos masiva en octubre de 2023. Un ciberdelino incautado de información personal que pertenece a no menos de 6.9 millones de clientes , menos de la mitad de la base de clientes total de la compañía.

Según se informa, el criminal aprovechó dos características, conocidas como "parientes de ADN" y "árbol genealógico", que permiten a los clientes compartir información entre sí, para robar tanta información.

Acerca de Tech.co Video Miniatura que muestra al escritor principal Conor Cawley sonriendo junto al logotipo de Tech.co Esto solo adentro! Vista
Las principales ofertas de tecnología empresarial para 2025 👨‍💻
 Ver el botón Lista

También ha sucedido que se dirigieron específicamente a personas con herencia judía china y Ashkenazi, cuya información se puso a la venta en la Web Dark. 23andMe inicialmente no logró notificar a estos clientes.

¿Qué pasó con 23andMe?

La compañía fue golpeada rápidamente con una demanda colectiva. En septiembre de 2024, acordó pagar $ 30 millones en pagos en efectivo a las personas cuya información fue robada. También acordó proporcionar tres años de monitoreo de seguridad, y los clientes permitieron inscribirse en un programa conocido como "Monitoreo genético de privacidad y escudo médico +".

Este enorme desembolso financiero requirió una reestructuración de la empresa, lo que finalmente resultó en 200 empleados, o el 40% de la fuerza laboral total, perdiendo sus empleos. 23andMe detuvo todo el desarrollo de sus terapias y se puso a la venta. Después de varias ofertas fallidas de adquisición, la CEO Anne Wojcicki renunció. La compañía ahora se ha declarado en bancarrota, ya que busca un nuevo comprador.

Con dudas sobre el futuro remolino de la compañía, los clientes están preocupados por sus datos. El 21 de marzo de 2025, el Fiscal General de California, Rob Bonta, emitió una alerta de consumidor, instando a las personas a eliminar sus cuentas y los datos genéticos correspondientes. Cuando todo está dicho y hecho, la violación de datos 23andMe ha sido un desastre tanto para negocios como para clientes.

Meta

El gigante de las redes sociales no es ajeno a la controversia. Con los años, la compañía Mark Zuckerberg-Helmed ha estado en el centro de numerosos escándalos, desde Facebook-Cambridge Analytica hasta acusaciones de desinformación de elecciones generalizadas en 2016.

También tiene el dudoso honor del destinatario de la mayor violación de la privacidad de datos en la historia. Todo comenzó en 2013, cuando el activista austriaco Max Schrems trajo una demanda colectiva contra Meta, citando las preocupaciones de que cuando los datos de los usuarios europeos se transfirieron a los Estados Unidos, no estaba protegido adecuadamente de las agencias de inteligencia estadounidenses.

Luego, en agosto de 2020, la Comisión de Protección de Datos de Irlanda (DPC) lanzó una investigación sobre Meta Platform Ireland Limited, que finalmente se concluyó en mayo de 2023. Meta Irlanda fue declarada culpable de no establecer las barandillas apropiadas para salvaguardar la información del usuario en cuestión.

¿Qué pasó con Meta?

La plataforma recibió $ 1.3 mil millones por violación de la Regulación General de Protección de Datos (GDPR), un mandato de la Unión Europea (UE) diseñada para hacer cumplir la privacidad de la información. Los reguladores de la UE también han ordenado a Meta que suspenda la transferencia de datos personales a los EE. UU., Lo que ha tenido un impacto sorprendente en la forma en que Meta lleva a cabo sus operaciones en Europa.

Más allá de eso, la compañía ha sufrido un golpe masivo a su reputación. Si bien son difíciles de cuantificar, los impactos de esto a menudo son de gran alcance y permanentes. Meta tiene la intención de apelar la decisión, pero el daño se ha hecho.

Travelex

En diciembre de 2019, la compañía de divisas Travelex sufrió una violación masiva de datos. Los ciberdelincuentes lanzaron un sofisticado ataque de ransomware en la víspera de Año Nuevo que dio a luz a la compañía. Travelex retiró sus sitios web en 30 países para tratar de contener el ataque, pero estaba en problemas.

Los delincuentes, que formaban parte de una pandilla conocida como Revil, afirmaron haber accedido a la red informática de la compañía y robaron 5 GB de datos confidenciales de los clientes. Supuestamente, esto incluyó fechas de nacimiento, información de la tarjeta de crédito y números de seguro nacional.

TravelEx no pudo presentar un informe de violación de datos a la Oficina del Comisionado de Información del Reino Unido (ICO), que es un requisito nacional para las empresas que sufren violaciones de datos. Bajo GDPR, no hacerlo dentro de las 72 horas posteriores a la violación original puede resultar en una multa del 4% de la facturación global de la compañía.

¿Qué pasó con Travelex?

Después de negociar con los preparadores, la compañía acordó pagar un rescate de $ 2.3 millones. Su empresa matriz, Finablr, intentó vender la empresa, pero finalmente no tuvo éxito. Una reestructuración posterior resultó en la pérdida de más de 1.300 empleos.

Más tarde se supo que las preocupaciones sobre las vulnerabilidades de seguridad digital se habían planteado a principios de 2019. Cuando esto salió a la luz, el impacto en la reputación de Travelex fue catastrófica. La compañía sobrevivió a la terrible experiencia, pero nunca ha recuperado la cuota de mercado que tenía antes de sufrir la violación de ciberseguridad.

Medisecura

El proveedor de recetas australianas Medisecure reveló que había experimentado una violación de datos en julio de 2024, durante la cual se comprometió la información personal de 12,9 millones de personas. En otras palabras, casi la mitad de la población del país.

La información sobre la naturaleza de la violación es escasa, pero se cree que los ciberdelincuentes explotaron una vulnerabilidad dentro del patrimonio de TI de la compañía para plantar un ataque de ransomware. A partir de ahí, encriptaron datos confidenciales del cliente y exigieron un rescate para su lanzamiento.

¿Qué pasó con MediseSecure?

No está claro si la compañía cedió o no a las demandas de los delincuentes, pero lo que sí sabemos con certeza es que no se detuvieron allí. Con toda esa información personal a su disposición, los delincuentes también lanzaron una serie de ataques posteriores contra las personas afectadas.

Anticipando una avalancha de demandas de clientes descontentos, Medisecure solicitó un rescate del gobierno australiano. Fue rechazado. Desde entonces, la compañía ha entrado en la administración, lo que significa que está en proceso de reorganizarse, con miras a su apagado total.

Datos públicos nacionales

La compañía de verificación de antecedentes de empleados estaba sujeta a una violación de datos masivo en agosto de 2024. Según los informes, los ciberdelincuentes obtuvieron acceso a la base de datos de la compañía a través de un archivo zip ubicado en el sitio web de la compañía. Robaron no menos de 2.9 mil millones de registros pertenecientes a 170 millones de personas .

¿Qué pasó con los datos públicos nacionales?

Como era de esperar, la compañía nunca se recuperó. Poco después de que salió a la luz la violación, la compañía se declaró en bancarrota para prepararse para los litigios e investigaciones posteriores. Finalmente, fue cerrado.