Qué son las filtraciones de datos personales y por qué deberían preocuparte

En los últimos años hemos visto en diferentes medios de comunicación un incremento de noticias, informando sobre filtraciones de datos personales en empresas privadas y entes gubernamentales. Estas filtraciones de datos suelen ocurrir por las siguientes causas:

Sofisticadas técnicas de hackeo.
Personal malicioso dentro de las organizaciones.
Bajos controles de acceso.
Publicación accidental en repositorios públicos.
Pérdida o robo de dispositivos.
Errores o negligencia humana.
Fallas de los sistemas.

Muchas personas pueden pensar que esto es un problema que solo afecta la reputación y finanzas de las empresas o instituciones involucradas, por lo que no le dan importancia al hecho.

Tabla de contenidos

¿Qué significa para las personas la existencia de una filtración de datos?

Cada vez que nos registramos en un sitio web o acudimos físicamente a una institución o empresa para contratar un servicio, realizar una compra, pagar un tributo, acudir a una consulta médica, entre otros, es común que debamos indicar una serie de datos personales.

Normalmente esos datos son almacenados en medios seguros, con el fin de garantizar que sólo el personal autorizado pueda tener acceso a ellos.

Si bien estas empresas e instituciones gubernamentales hacen su mejor esfuerzo para garantizar la privacidad, confidencialidad e integridad de nuestros datos, no siempre se logra, lo que puede ocasionar que personas ajenas al proceso tengan acceso a ellos.

Muchas personas dan por sentado que su nombre, su dirección de correo electrónico, su sexo o la fecha de su nacimiento son datos comunes e inofensivos, pero en manos malintencionadas son un buen insumo para ejecutar exitosamente un ataque.

Ataque a través de un email de tipo phishing

Un email de tipo phishing es un correo electrónico que busca engañar a su víctima, a través de la usurpación de identidad de una persona, empresa o ente gubernamental de su confianza, con el fin de que incitar a la víctima a realizar una acción que busca instalar malware, sabotear sistemas, robar dinero, entre otros.

A continuación te muestro varios ejemplos, donde podrás ver como un mensaje de correo poco creíble puede evolucionar a uno muy creíble con la ayuda de datos personales, logrando sembrar la duda en su posible víctima, la cual puede terminar cayendo en el engaño.

Ejemplo 1: La posible víctima recibe un mensaje de email donde aparece el logotipo y otros detalles corporativos de un banco:

Hola,

Hemos detectado movimientos inusuales en su tarjeta de crédito, por lo que el sistema de forma automática procedió a su bloqueo, hasta que usted pueda verificar la veracidad de esta información.

Para evitar la suspensión permanente de su tarjeta de crédito, pulse aquí.

Lamentamos los inconvenientes ocasionados.

Ejemplo 2: El mismo caso que el anterior, pero en esta oportunidad hacen mención del nombre y apellido de la posible víctima para hacerlo más personal.

Estimado(a) José Pérez

Hemos detectado movimientos inusuales en su tarjeta de crédito, por lo que el sistema de forma automática procedió a su bloqueo, hasta que usted pueda verificar la veracidad de esta información.

Para evitar la suspensión permanente de su tarjeta de crédito, pulse aquí.

Lamentamos los inconvenientes ocasionados.

Ejemplo 3: Similar al anterior, pero en esta ocasión el atacante tuvo acceso a información más sensible de la posible víctima, lo cual incrementa notablemente la credibilidad del mensaje:

Estimado Sr. José Pérez

Hemos detectado movimientos inusuales en su tarjeta VISA terminada en 9876, por lo que el sistema de forma automática procedió a su bloqueo, hasta que usted pueda verificar la veracidad de esta información.

Para evitar la suspensión permanente de su tarjeta de crédito, pulse aquí.

Lamentamos los inconvenientes ocasionados.

Si bien los ejemplos anteriores pueden ser considerados como un ataque de phishing muy básico, sirve de ejemplo para ilustrar cómo la usurpación de identidad puede ser utilizada para persuadir a una persona a realizar una acción.

En el pasado se han dado a conocer ataques mucho más elaborados, donde la posible víctima no sólo es contactada por email, sino que en forma simultánea es contactada vía SMS, llamadas telefónicas y hasta presencialmente, todo esto con el objetivo de dar mayor credibilidad y urgencia a su petición.

Cuando un atacante posee solamente nuestra dirección de correo electrónico, es muy probable que recibamos un mensaje que suplanta la identidad de alguien con el que no tenemos relación. Sin embargo, cuando el atacante se hace de una lista importante de direcciones de correo electrónico, estadísticamente hablando es muy probable que alguien sí tenga relación con la identidad usurpada.

A medida que el atacante logra hacerse de más datos personales, el correo electrónico va cobrando un nivel de credibilidad muy importante, haciendo dudar a sus posibles víctimas.

El ser humano es muy vulnerable al miedo, a lo inesperado, a la codicia, a las figuras de poder y a su deseo de ayudar a otros. Los ciberdelincuentes conociendo esto, se harán pasar por dependencias gubernamentales (enviándonos multas o citatorios), por bancos (notificando la suspensión de cuentas o reportando depósitos inesperados), por empresas reconocidas (ofreciendo increíbles promociones), por empresas de paquetería (indicando que tenemos un paquete sin retirar) o simplemente anunciándonos que hemos sido ganadores en algún concurso.

La imaginación de los ciberdelincuentes no tiene límites, por lo que estas campañas maliciosas cambian su estrategia dependiendo de la época del año, la noticia del momento o cualquier situación que llame la atención de su posible víctima.

Por tal motivo siempre es importante verificar la información que estás recibiendo, haciendo uso de los medios que las empresas o entes gubernamentales ponen a nuestra disposición y no utilizando los medios que el atacante nos suministra y en el caso de correos electrónicos o mensajes SMS o MMS, JAMÁS hagas clic en los link recibidos y NUNCA abras los archivos anexos. En su lugar, es preferible que te tomes un tiempo en verificar la veracidad de esta información.

Como puedes comprender, la filtración de datos personales puede ser aprovechada por un atacante para dar mayor credibilidad a sus acciones y convertirnos en sus víctimas con mucha más facilidad.

Qué tipos de datos puede contener una filtración de datos

La cantidad de personas afectadas, así como el tipo de dato expuesto dependerá en gran medida de la vulnerabilidad atacada y la velocidad de respuesta de los sistemas de detección de intrusos que estas empresas pueden tener. Sin embargo, las filtraciones que reiteradamente se presentan en distintas empresas y entes gubernamentales, pueden ayudar a los ciberdelincuentes a construir bases de datos muy sofisticadas, logrando hacerse de datos tales como:

Nombre y apellido.
Dirección de correo electrónico.
Nombre de usuario o nickname.
Contraseña utilizada.
Sexo.
Fecha y lugar de nacimiento.
Nombre de la empresa para la cual trabaja.
Cargo que ocupa dentro de la empresa.
Dirección de vivienda y trabajo.
Teléfonos de contacto (casa, trabajo, dispositivos móviles).
Identificación personal (DNI o cédula de identidad, pasaporte, licencia de conducir).
Información financiera (nombre del banco, instrumentos financieros).
Historias médicas (enfermedades, tratamientos, médicos tratantes).
Nombre de familiares y amigos.
Datos académicos tales como colegio, universidad, profesión u oficio.
Datos de vehículos (matrículas, propietario, características del vehículo).
Estado civil (soltero, casado, divorciado, viudo).
Fotografías (donde no sólo se muestra nuestro rostro, sino el entorno).
Ubicación geográfica.
Ingresos anuales.
Gustos, hobbies, preferencias personales.

La lista es infinita.

Casos más sonados de filtración de datos personales:

A continuación menciono algunos casos muy sonados de filtración de datos personales:

2017: filtración de más de 145,5 millones de cuentas de Equifax.
2018: se supo que Cambirdge Analytica recopilaba datos personales de los perfiles de Facebook.
2019: filtración de 20,8 millones de registros de ciudadanos en Ecuador, que incluyen menores de edad, personas fallecidas y extranjeros.
2020: filtración de 5 millones de clientes de la cadena de Hoteles Marriott.
2021: filtración de 100 millones de datos privados de usuarios de T-Mobile.
2021: filtración de 700 millones de datos de usuarios de LinkedIn.
2022: filtración de datos de 5,4 millones de usuarios de Twitter.

Es importante recalcar que la noticia de una filtración de datos no siempre se hace del conocimiento público de forma inmediata, en ocasiones pueden pasar meses antes de que la filtración sea detectada o comunicada. Otro dato importante, es que a pesar de existir en algunos países legislaciones que exigen que las empresas informen a sus usuarios sobre la existencia de una filtración de datos, esta información en ocasiones es ocultada para evitar sanciones o el incremento del riesgo reputacional.

Qué podemos hacer para disminuir el riesgo antes de que ocurra una filtración de datos

En este punto voy a mencionar algunas recomendaciones que te ayudarán a disminuir el riesgo, antes de que ocurra una filtración de datos:

Trata de indicar la mínima cantidad de datos posible. En este punto las empresas e instituciones gubernamentales deben hacer también la tarea, con el fin de solicitar únicamente los datos que sean relevantes para el proceso.
Capacítate en temas básicos de ciberseguridad, para que puedas reconocer un ataque de ingeniería social, phishing, entre otros.
Utiliza contraseñas fuertes y activa el segundo factor de autenticación, en caso de que este recurso de seguridad esté disponible.
Cambia con regularidad tus contraseñas.
No utilices la misma contraseña en más de un programa o servicio. Si el número de contraseñas es grande, utiliza gestores de contraseñas.
Cuando utilices gestores de contraseñas, recuerda crear una contraseña segura y activar el 2FA o el MFA, para una mayor seguridad.
Cuando utilices redes sociales publica la mínima información posible y antes de hacerlo, piensa como alguien puede utilizar en tu contra esa foto, comentario o dato personal que estás apunto de publicar.
Utiliza contraseñas fuertes en todos tus dispositivos (computadora, dispositivos móviles).
Siempre mantén actualizado el sistema operativo y programas instalados en todos tus dispositivos.
Ten siempre actualizado tu antivirus (endpoints antimalware).
Sin importar los conocimientos técnicos que tengas, verifica que el usuario con el que ingresas a tu computadora no tenga privilegios de administrador, ya que esto incrementa el riesgo de seguridad de tu equipo.
Utiliza una VPN en caso de utilizar redes WIFI de lugares públicos.
Busca información sobre ti en internet. Empresas como Google ponen a nuestra disposición mecanismos que eliminan la indexación de datos personales e información falsa.

Qué podemos hacer para enfrentar una filtración de datos

Ahora bien, la filtración de datos ya ocurrió y nos están empezando a llegar mensajes muy elaborados con el fin de engañarnos, ¿qué debemos hacer ahora?

Lo primero que debemos hacer es tranquilizarnos y pensar en lo que está ocurriendo, de esa forma nuestras decisiones serán menos emocionales. Recuerda que muchos ataques de phishing están diseñados para desencadenar en la posible víctima altos niveles de ansiedad, evitando así que pueda pensar con claridad y obligarla a tomar una acción en el menor tiempo posible.
Apóyate en todo lo que has aprendido sobre temas de ciberseguridad.
Siempre desconfía de los mensajes recibidos, en especial si este nos impulsa a realizar una acción urgente, apelando al miedo, codicia o figura de autoridad.
Si trabajas para una empresa, mantén informado del evento al departamento ciberseguridad o soporte IT, para que ellos puedan hacer el seguimiento respectivo.
Cambia la contraseña en todas tus cuentas.
Verifica en tu cuenta de email y redes sociales, los permisos concedidos a través de Open Authorization (OAuth).
Ponte en contacto con la empresa u oficina gubernamental correspondiente, para validar la información recibida y ponerlos en alerta de lo que está ocurriendo. Recuerda siempre utilizar los medios oficiales que ellos ponen a tu disposición. Nunca utilices los medios que te llegan a través de los mensajes recibidos.
Reporta el incidente ante las autoridades competentes de tu país.

Y recuerde, en Lavandeira Systems estamos comprometidos a brindarle el mejor servicio posible. Estamos aquí para ayudarlo con todas sus necesidades de IT, desde el mantenimiento básico de computadoras hasta los proyectos más complejos. Contáctenos hoy para obtener más información sobre nuestros servicios o para programar una consulta.

¡Déjenos saber cómo podemos ayudarlo!

Crédito de la imagen: analogicus en Pixabay

Gracias por compartir:

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.