Los empleados de Amazon que cotilleaban las compras de los famosos y aceptaban sobornos

Amazon tiene un problema con la protección de datos de sus clientes y es grave. Eso es lo que se desprende de la investigación publicada por Wired y Reveal basada en documentos internos de la compañía y testimonios de exempleados durante el periodo 2015-2018.

Según la investigación, bajo la premisa de mejorar el funcionamiento del servicio al cliente y honrar el lema de la compañía de situarle por delante de todo, los datos de los usuarios de Amazon circulaban sin apenas control entre los empleados de la compañía. En la práctica, abriendo importantes grietas de seguridad que podían ser explotadas sin que la compañía tuviera conocimiento de ello.

La información comprometida abarca desde lo que compra un usuario a los programas que ve o lo que le dice a Alexa, incluso su información de pago en algunos casos. El problema estaba agravado por el propio diseño de la plataforma y su inmenso tamaño que dificultaba conocer toda la información que Amazon maneja de sus clientes a través de sus numerosos servicios, incluso para los encargados de su seguridad. Tan grande y descentralizada que cuando en 2016 el equipo de seguridad intentó mapear todos los datos de Amazon, no pudo hacerlo.

El medio puntualiza que los problemas relatados afectan al servicio minorista, la tienda “online”, pero no a Amazon Web Services, el área de computación en la nube que administra los datos de millones de empresas y agencias gubernamentales y cuenta con un equipo de seguridad independiente.

Gary Gagnon, ex director de seguridad de la información de Amazon, califica la situación como de “acceso libre para todos los empleados” a la información de los clientes. Como consecuencia, empleados de bajo nivel espiaban las compras de famosos como Kanye West y estrellas de Hollywood como Robert Downey Jr o Scarlett Johansson mientras que otros rastreaban la actividad de sus ex parejas. “Todos, todos lo hicieron” según el testimonio de un representante de servicio que solicitó el anonimato para hablar con Wired.

También se aceptaban sobornos de vendedores en Amazon para beneficiar su actividad o perjudicar la de otros en la plataforma, controlar el sistema de puntuación de Amazon y se llegaba a vender productos de imitación a clientes desprevenidos. La compañía no aprobaba esos comportamientos, pero los empleados tenían las herramientas para llevarlos a cabo, aunque su propósito fuera el de mejorar la calidad del servicio.

Otro caso, un programa de la compañía creado con el propósito de que los vendedores extrajeran sus propias métricas era aprovechado por desarrolladores externos para acumular datos de clientes. Amazon también descubrió como una empresa de datos china había estado recolectando datos de los clientes en un caso parecido al de Cambridge Analytica y Facebook en 2018.

En ese mismo año, un memorando de seguridad señalaba que más de tres mil equipos internos de Amazon copiaban y almacenaban datos en otras ubicaciones de forma que se producía una “proliferación, en su mayoría indocumentada, de copias de los conjuntos de datos requeridos”.

Según Wired, los fallos de seguridad se veían acrecentados por una cultura empresarial enfocada a la rapidez en el servicio al cliente antes que en la seguridad de sus datos. Así, la compañía mantuvo durante años equipos de seguridad reducidos frente a los de otras grandes compañías de Internet y que debían manejarse con presupuesto y capacidad de acción limitadas. Para Gary Gagnon, que entró en Amazon como vicepresidente de seguridad en 2016, Amazon “creció en un garaje y siguió avanzando desde allí”. Todo era una maraña de software nuevo y antiguo “sujeta con cinta adhesiva y chicle”. Una red en la que todos tenían acceso a casi todo, incluso a la información de los clientes.

Por ejemplo, su reducido equipo de trescientas personas, que en opinión de Gagnon debería haber sido de mil para una empresa como Amazon, descubrió que los nombres y números de tarjetas American Express de 24 millones de clientes habían permanecido expuestos dentro de la red interna de Amazon, fuera de una “zona segura” para los datos de pago durante dos años. Cuando el equipo de seguridad la arregló, no podía comprobar si habían sido espiados porque los datos de acceso solo se mantienen durante noventa días.

Pero el que probablemente sea el ejemplo más ilustrativo de la dejadez de Amazon en relación a la custodia de los datos de los usuarios sea la entrada en vigor del Reglamento General de Protección de Datos europeo en mayo de 2018. Cuando Gagnon planteó al vicepresidente a cargo de la infraestructura técnica minorista, David Treadwell, como iban a afrontar la adaptación, éste le respondió “¿qué es el RGPD?”. La compañía se puso manos a la obra solo cinco semanas antes de su entrada en vigor.

En relación a la multitud de irregularidades publicada por Wired, Jen Bemisderfer, portavoz de Amazon, ha señalado al medio que la compañía tiene “un historial excepcional en la protección de los datos de los clientes“ y que “el hecho de que los problemas de privacidad y seguridad de Amazon estén ampliamente documentados con una revisión exhaustiva por parte de la alta dirección resalta nuestro compromiso con estos problemas y demuestra la vigilancia con la que identificamos, escalamos y respondemos a los riesgos potenciales”.