Riesgos e implicancias en la seguridad de las campañas de email marketing de Epsilon
Una brecha en la base de datos de una pequeña empresa poco conocida que afectó a compañías como J.P. Morgan Chase & Co., Tivo Inc., entre otras, ha traído a la luz el outsourcing de servicios de campañas de email marketing, una práctica que ha crecido sostenidamente durante la década pasada ya que los consumidores se vuelven menos sensibles a los malos lanzamientos, promociones y ofertas.
Epsilon Data Management LLC, una división de Alliance Data Systems Corp., dijo la semana pasada que hackers habían accedido a su sistema obteniendo nombres y correos electrónicos. En los días sucesivos, más de 40 compañías, incluyendo las anteriormente mencionadas, dijeron que sus clientes estuvieron entre las víctimas.
Las empresas habían contratado a Epsilon para gestionar campañas de email marketing, una tarea que rara vez se ejecuta dentro de la empresa estos días. Cuando empresas minoristas como Best Buy y Target envían correos electrónicos con promociones a sus clientes, los productos son seleccionados y los mensajes enviados por firmas como Epsilon.
Durante la última década, los departamentos de marketing de muchas compañías han llegado a la conclusión que no es rentable gestionar dichas campañas internamente. La gestión de envíos masivos de emails puede requerir mucho tiempo, y la tecnología para clasificar la información del cliente que permite organizar la información del cliente para determinar las promociones específicas está cambiando bastante rápido como para que las empresas lo hagan por su cuenta.
Compañías como Epsilon saben que no deben enviar una promoción para un abrigo de invierno a alguien que vive en Miami, por ejemplo, o un correo electrónico enfatizando las bajas tasas de interés de refinanciamiento de hipotecas a personas que no poseen casa propia.
“Es posible que recibamos un email del mismo minorista pero sería completamente diferente”, dijo Dave Frankland, analista de Forrester Research. “Manejar esto con millones de clientes es muy complejo”, agregó.
Muchas empresas no están en condiciones de personalizar las promociones en base a lo que conocen de sus clientes. De hecho, el 81 por ciento de compañías estadunidenses no usan la información que recolectan de sus clientes para personalizar mensajes de correo electrónico, de acuerdo con Return Path Inc., firma que ayuda a sus clientes a enviar correos electrónicos.
En adición a los mensajes que los clientes son más propensos a responder, empresas terciarias como Epsilon también ayudan a garantizar que un email no se quede atrapado en un filtro de spam. Normalmente el 20 por ciento de los emails legítimos nunca llegan a la bandeja de entrada de destino, de acuerdo con Return Path. Por su parte, Epsilon tiene equipos que trabajan con los mayores proveedores de correo electrónico como Yahoo, Google y Microsoft a fin de asegurar que el mensaje enviado a las personas que han optado por recibirlo llegue a su destino.
Epsilon, localizada en Irving, Texas fue adquirida en el 2004 por Alliance por un monto cercano a los $300 millones. La firma dijo enviar más de 40 mil millones de emails al año y contar en su cartera con más de 2.500 clientes. El lunes Epsilon dio a conocer que cerca del 2 por ciento de sus clientes fueron afectados por la brecha en la seguridad de la información.
La compañía declinó en comentar más allá de sus declaraciones previas sobre la violación a su base de datos. La semana pasada representantes de Epsilon dijeron que la información obtenida por el hacker “se limitó solo a direcciones de correo electrónico y/o nombres de clientes”, agregando que “no otra información asociada con dichos nombres está en riesgo”. Una investigación se viene llevando a cabo para esclarecer lo sucedido.
Los datos robados a Epsilon no son considerados información tan sensible como los números de tarjetas de crédito o seguro social. Sin embargo, expertos en seguridad advierten que un cibercriminal podría usar la información para cometer fraudes, especialmente si conoce cuales emails están asociados con clientes de negocios particulares.
Las empresas de seguridad y negocios están advirtiendo a los consumidores que estén al tanto de emails que soliciten información personal, como detalles de cuentas bancarias o contraseñas. El hacker que robo la información de Epsilon se encontraría en una buena posición para crear mensajes que parecerían legítimos, dirigiéndose a un cliente por su nombre, e incluso haciendo referencia a emails legítimos enviados con anterioridad.
“El tipo de información que es compartida con propósitos de marketing es generalmente percibida de ser menos sensible que aquella utilizada en transacciones”, dijo Kelly Wanser, director ejecutivo de eCert Inc., empresa que trabaja con bancos y proveedores de servicios de Internet en la autenticación de emails. Lo ocurrido con Epsilon recientemente podría convencer a algunos negocios de la necesidad de proteger información que hasta cierto punto pueda ser considerada como intrascendente como es el caso de las direcciones de correo electrónico empleados en campañas de email marketing.