¿QUÉ SUPONE PARA MI UNA NOTICIA DE FILTRACIÓN DE DATOS?
Autor: Daniel Juanes Fernández
RESUMEN: ¿Qué suponen las filtraciones de datos? Continuamente estamos asistiendo a noticias que nos cuentan cómo miles de millones de datos personales que custodian empresas en las que confiamos al darles nuestra información se acaban filtrando, son robados, están mal resguardados, son accesibles y vulnerables. Estos hechos se suceden casi a diario. Otra cosa, es que sean más o menos trascendentes en los telediarios, pero ocurren, y lo que más me sorprendió y me motivó a escribir este artículo, es que simplemente hasta hoy no me paraba a pensar qué suponía para mí, «si no soy nadie».
Etiquetas: datos, filtraciones, empresas, phishing.
Noticias de filtración de datos
20 de abril de 2021: “Filtrados 13 millones de datos de una conocida teleoperadora”.
Ese es titular. La noticia nos relata como a través de un ciberataque ransomware se secuestraron los datos de clientes de una enorme empresa teleoperadora. No llegaron a un acuerdo los ciberdelincuentes y la mercantil (ojo, que a lo mejor sí se pagó el rescate y los publicaron igual) y se han colgado estos datos en un repositorio de DarkWeb.
Trece millones de datos, de clientes y usuarios, en un solo día. Ayer fueron otros tantos millones y mañana más de otras empresas, ninguna está a salvo.
Vale, pero ¿qué más me da? Esa es la pregunta que quiero responder hoy. Sí que pasa y bastante. ¿Qué suponen realmente las filtraciones de datos?
¿Qué suponen las filtraciones de datos?
A NIVEL PERSONAL
Tu dirás, ¿qué me importa a mí que se filtren mis datos si no soy nadie? Pero esa misma tarde te llega un mensaje falso, un phishing, de una empresa de mensajería o de tu banco diciendo que tienes un paquete o un ingreso, clicas en el enlace para ver lo que es, porque parecía tú banco, o tú compañía de teléfono… y ya has picado, han vulnerado tu móvil. Han accedido a todo el contenido que tenías en tu dispositivo, tus cuentas bancarias, tu dinero, tus cuentas y contraseñas, tus fotos, tu agenda y demás, fuera; has perdido el control de tu vida. Te han atacado y te han hecho mucho daño, te va a suponer un gasto importante de dinero y tiempo el recuperarte.
De lo primero a lo segundo no hay más que tiempo, es la crónica de un ataque anunciado.
Un día, una empresa no cuida bien los datos de sus clientes porque “es que es un gasto” (cuando lo que es de verdad, es una inversión). Esos datos quedan a la vista y acceso de cualquiera con tiempo, recursos y motivación que no es tan raro ni tan difícil.
Llega un ciberdelincuente que va a la búsqueda de cualquier botín y da con esos datos mal custodiados. Ahora, bien mete un randsomware haciéndolos inaccesibles o bien penetra en el sistema y se descarga el fichero (es asombrosamente lo poco peliculero y lo básico que es a veces) y ahí tiene a su disposición cientos, miles o millones de datos, ya tiene su botín.
Haciéndose vale del anonimato chantajea a la empresa y le amenaza: o me pagas tanto o estos datos los cuelgo y filtro.
EFECTOS Y CONSECUENCIAS
La empresa (y también tú de manera no tan indirecta) sólo tiene que perder: o paga con ninguna certeza de que se los devuelva (un gasto que te podías haber ahorrado si hubieras sido diligente), o paga y los cuelga (doble pérdida) o no pagas y los cuelga.
Y al gasto económico, hay que sumarle también el reputacional y las consecuencias legales.
El ciberdelincuente tiene varias posibilidades:
- puede poner a la venta los datos robados recuperando la inversión que le ha supuesto el ataque en un repositorio de la DarkWeb (accesible al fin y al cabo para quien tenga interés),
- se los vende a otra empresa que les sea de interés
- se los vende a otros delincuentes que lo usaran para otros ataques
- él directamente usa ese producto que son millones de datos, entre los que están los tuyos y los míos.
Una vez con los datos filtrados y vendidos ¿qué pueden hacerme? Esa es la pregunta. Pues van a ir a por ti.
Si tienen datos suficientes y los cruzan (cosa sencilla de conseguir hoy en día), ya saben en qué trabajas, que tienes una tarifa contratada de un importe jugoso, el nombre de tu banco, tu email y además saben cómo te llamas. Tienen ya datos suficientes para lanzarte un anzuelo, un ataque.
Para un ataque individual todo este esfuerzo no merece la pena si el objetivo único no es de interés, pero para miles o millones de ataques masivos como el ataque por SMS de la empresa de paquetería sí merece la pena la inversión.
Ellos han conseguido millones de datos, no ha sido muy costosos, pagan los costes que supone un ataque (personal, tiempo, recursos, etc.) y lanzan ataques masivos más o menos personalizados (con tu nombre, tu correo y el membrete de tu banco, por ejemplo), para que tú u otras personas como tus padres, hermanos, hijos, tu vecino, hagamos ahí en ese enlace maligno y ya estamos en el final del ciclo: te han atacado.
Hemos pasado de noticia que ayer te dio igual, no te enfadó ni te incomodó, a hoy que estás denunciando un ataque a tu móvil u ordenador que te ha supuesto perder una buena cantidad de dinero que has conseguido honradamente.
DAÑOS EN NUESTRA INTIMIDAD E INTEGRIDAD
«Varón, 86 años, quiere suicidarse con lejía». El hackeo más grave a un ayuntamiento español. Otro titular más, del 14 de marzo de este año.
Las filtraciones de datos no sólo suponen la posibilidad de que te ataquen, es que suponen la certeza de que te han vulnerado.
No somos conscientes de la sensibilidad de los datos que volcamos a diario, cada ataque de estos supone una vulneración a Derechos Fundamentales como la dignidad, la libertad, honor e intimidad.
A veces, hay como una especie de efecto rebaño que como esos datos se han publicado junto con los de miles de personas pues impacta menos cuando tendría que ser al revés. El revuelo que supondría que del centro de salud de tu barrio una persona se lleve los expedientes de los pacientes, pues a veces pasa eso, pero como pasa en internet, no es tangible, no es palpable no es indignante.
Hay muchos más matices y consecuencias que me dejo en el tintero como el daño que supone en la reputación de una empresa u organismos públicos la filtración de datos de clientes, proveedores, accionistas, socios, etc. que estos han confiado y no han sabido cuidar. Las sanciones económicas por no invertir a tiempo en seguridad, lo que hoy es una multa de un dos cientos mil euros (sanciones de la Ley Orgánica de Protección de Datos) ayer pudieron haber sido dos nóminas a dos técnicos o un contrato por un servicio a una empresa especializada en seguridad.
Estamos lejos de que las filtraciones nos duelan como si fueran daños personales, que lo son. Hemos recorrido camino, pero aún queda mucho por hacer.