Las violaciones de datos pueden resultar aterradoras: acaparan titulares cada día y nos dejan en un estado de ansiedad constante. Pero el culpable no es siempre el malvado monstruo de los datos. En ocasiones, la culpa es de contraseñas poco seguras. De hecho, 80% de las violaciones de datos suceden por culpa de contraseñas poco seguras, reutilizadas o comprometidas.
Por un lado, las noticias como esta pueden hacernos quedar un poco como tontos. Por otro, da bastante seguridad saber que podemos ir un paso por delante de los cibercriminales; aunque nuestra única arma sea una contraseña potente.
En esta serie de publicaciones sobre protección de datos, hemos cubierto algunas áreas cruciales, desde la protección de contraseñas y seguridad del navegador hasta consejos para mantener a salvo tu información en internet. La amenaza de terminar envuelto en una violación de datos es constante, y por eso mismo vamos a explicarte cómo evitarlas.
En este artículo, discutiremos sobre:
Qué es en realidad una violación de datos.
Violaciones de datos recientes.
Cómo y por qué suceden las violaciones de datos.
Cómo puedes prevenirlas
¿Qué es una violación de datos?
Una violación de datos es un incidente en el cual información confidencial y protegida es filtrada, copiada, usada u obtenida sin autorización. Un ejemplo podría ser el robo del número de tu tarjeta de crédito o de la Seguridad Social. En una escala mayor, las grandes corporaciones pueden exponer sin querer millones de contraseñas de sus usuarios a los cibercriminales. Una vez se filtran los datos, no hay forma de controlar su divulgación y uso.
Desde hospitales a foros de videojuegos, tu información se almacena en varios lugares. Mientras confiamos en instituciones para que protegen nuestros datos, la cosa suele torcerse con frecuencia. Los hackers siempre intentarán ir un paso por delante cuando se trata de la seguridad de los dispositivos y corporaciones. La FaceID del iPhone puede hackearse en menos de 120 segundos, y una contraseña débil puede adivinarse en milisegundos. Incluso el monitor de tu bebé corre peligro.
Las mayores violaciones de datos de 2019
Fortnite. Una páginas web no seguras dejó a 200 millones de usuarios vulnerables frente al ataque.
Verifications.io. La agencia de marketing no contaba con medidas de seguridad para proteger a su gigantesca base de datos de usuarios. El experto en seguridad Bob Diachenko informó del incidente, el cual tumbó la base de datos. Esta incluía nombres de usuario, fechas de nacimiento y direcciones.
Facebook. 540 millones de IDs de usuario, nombres de cuentas, me gustas y comentarios se filtraron a través de una aplicación de terceros.
Capital One. Según El New York Times, un empleado consiguió robar 80.000 números de cuentas bancarias, 140.000 números de la Seguridad Social y millones de tarjetas de crédito. El resultado: 300 millones de dólares en deudas para uno de los bancos más famosos del mundo.
Las mayores violaciones de datos de 2020
Marriott International. Los hackers consiguieron acceder a una aplicación de terceros usada para ofrecer servicios a los clientes al introducir los detalles de inicio de sesión de dos empleados, exponiendo datos privados de 5.2 millones de clientes de Marriott. Los datos filtrados contenían el nombre de los huéspedes, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y demás.
Drizly. La startup de entrega de alcohol Drizly informó sobre una violación, la cual afectó a más de 2.5 millones de cuentas Drizly. La información filtrada incluía contraseñas, direcciones de correo electrónico y fechas de nacimiento.
Microsoft. Una base de datos de atención al cliente con casi 280 millones informes de clientes de Microsoft se filtró en internet. La violación reveló direcciones IP, direcciones de correos electrónicos y detalles sobre los casos atendidos.
T-Mobile. Un número desconocido de informaciones de clientes fue filtrada a través del correo de un empleado de T-Mobile después de un ataque a cadena de suministro. Los datos incluían nombres, direcciones, números de la Seguridad Social, información de cuenta bancaria, números de identificación nacionales y números de teléfono.
Las mayores filtraciones de datos de 2021
Facebook. La información personal de más de 533 millones de usuarios de Facebook de 106 países se subió a internet gratis en un foro de hackers poco conocido. Los datos obtenidos incluían números de teléfono, nombres, ubicaciones, direcciones de correo electrónico e información biográfica.
Reverb. La base de datos de un mercado online para equipos de música fue filtrada en la dark web. La base de daos afectada contenía información personal de más de 5.6 millones de usuarios, entre la que se incluía nombres de usuario, números de teléfono, información de cuentas de PayPal y direcciones IP.
MeetMindful. La plataforma de citas fue hackeada por un hacker infame, y las cuentas de sus usuarios e información personal quedaron expuestas. La filtración incluía información de más de 2.28 millones de usuarios, entre la que se encontraban nombres, correos electrónicos, preferencias de citas, estado marital, fechas de nacimiento, direcciones IP, IDs de usuarios de Facebook y tokens de autenticación de Facebook.
Twitch. La popular plataforma de streaming sufrió un ataque masivo. Más de 100GB de datos filtrados fueron subidos a 4chan. Entre los datos que obtuvieron y filtraron los hackers, se encontraba el código fuente de Twitch, protocolos de seguridad internos y el registro de ganancias de los streamers más populares.
Las mayores filtraciones de datos de 2022
Crypto.com. El 17 de enero de 2022, la página de intercambio de criptomonedas sufrió un ataque afectó a las carteras de casi 500 usuarios. Los hackers responsables del ataque robaron 18 millones de dólares en Bitcoin y 15 millones de dólares en Ethereum.
Okta. En el mes de marzo, la compañía de autenticación cayó víctima de una violación llevada a cabo por el infame grupo de hackers llamado Lapsus$. Okta informó de la violación y dijo que el 2.5% de sus clientes quedaron expuestos en la filtración.
La Cruz Roja. El Comité Internacional de la Cruz Roja informó ser víctima de un ciberataque que afectó a sus servidores y dio acceso no autorizado a un gran volumen de datos personales. Los atacantes fueron capaces de echar el guante a nombres, ubicaciones e información de contactos de más de 515.000 personas.
¿Cómo se producen las violaciones de datos?
Contraseñas poco seguras y credenciales robadas. La forma más común y sencilla de robar tus datos es adivinando tu contraseña.
La puerta trasera abierta en aplicaciones y programas en general. Las aplicaciones con códigos débiles pueden ser una brecha para la seguridad. Una vez los hackers se cuelan por ellas, tus datos terminarán en sus manos.
Malware. Es un programa que es descargado sin querer a través de un correo phishing o al visitar páginas peligrosas.
Filtración interna. De forma similar a la violación Capital One, los empleados son las mayores amenazas a la seguridad de los datos. Imagina a 50.000 personas con acceso directo a información de millones de usuarios cada día. Una manzana podrida puede echar a perder toda la cesta, y las repercusiones para empresa y clientes pueden llegar a ser desastrosas.
¿Qué esperar de una empresa que sufre una violación de datos?
Si alguna de las plataformas online o proveedores de del servicio que empleas ha sido violado, hay unas cuantas cosas que deberían hacer para minimizar el riesgo asociado a tus datos personales y a su caída en malas manos.
Primero, la organización afectada debería reconocer la violación y ofrecer toda la información relevante: fecha de la violación, sistemas que se han visto afectados, usuarios afectados, tipo de violación de datos.
También deberías saber cómo la entidad afectada gestionará la situación. Uno de los primeros pasos que debes esperar es la contención total de la violación y la llegada de medidas de seguridad extra. Con frecuencia, las organizaciones atacadas ofrecen una declaración oficial para explicar su procedimiento. Mantén los ojos abiertos ante cualquier declaración oficial.
Las buenas noticias con un pero
Hay muy pocos casos donde el término "lado bueno" sea acogido con gran entusiasmo. Pero confía cuando decimos que este es uno de esos. Las violaciones de datos a esta escala hacen mucho ruido y, si se canaliza de forma positiva, pueden provocar grandes cambios en las leyes de protección de datos. Las empresas comenzarán a apretarse el cinturón y la gente como nosotros se decidirá a tomarse en serio su seguridad. De hecho, el futuro de la ciberseguridad se encuentra en expansión. Las vacantes en el sector han aumentado un 74% en los últimos 5 años y se espera un gasto de 1 billón de dólares para 2024. Con semejantes cifras, es difícil no pecar de optimista.
Miles de apps y herramientas han sido diseñados para protegerte online, sin mencionar los consejos disponibles que puedes seguir si te ves metido en problemas. Si crees ser víctima de una violación de datos, sigue los siguientes pasos:
Elementos a incluir en tu plan de respuesta
Confirma la violación. Las páginas como Haveibeenpwned.com comprueban tu dirección de correo electrónico para ver si ha quedado expuesta en alguna violación de datos. También puedes llamar o enviar un email a la empresa para confirmar si tus datos se han visto afectados.
Descubre qué tipo de información ha sido filtrada. Mientras que tarjetas de crédito y cuentas robadas pueden sustituirse por otras nuevas fácilmente, la cosa se complica si se trata de conseguir un nuevo número de la Seguridad Social. Saber la información obtenida te da una idea de las intenciones del hacker. Por ejemplo, si se trata de la información de tu tarjeta de crédito, sabes que tu correo electrónico asociado también ha quedado comprometido.
Usa generador de contraseñas para una seguridad máxima. Contraseñas aleatorias como MUK7GDj<Hax~nM8E son mucho más difíciles de sortear y llevará milenios a quienes lo intenten.
Usa un gestor de contraseñas. Un gestor de contraseñas consigue ocuparse de dos puntos fundamentales:
Recuerda todas tus contraseñas por ti, así que siéntete libre de crear una contraseña larga y supercompleja.
Mantiene tus contraseñas encriptadas en una ubicación diferente. Lo anterior significa que tus contraseñas nunca quedarán expuestas en tu navegador, dispositivo o apps.
Proteger tus contraseñas es una de las formas más sencilla de potenciar tu seguridad en línea, pues es lo primero que intentan atacar los cibercriminales.
Lo importante
Ocuparte de tu propia ciberseguridad no debería ser una tarea imposible. Puesto que casi todas las facetas de nuestra vida tienen un reflejo online, ¿no sería buena idea ocuparte de tu propia seguridad? Como reza el dicho, más vale prevenir que curar.
La cruda realidad es que la ciberseguridad no suele ser prioritaria en organizaciones de gran tamaño. Cuando ocurre la violación de datos, el plan de acción más común consiste en recuperar la confianza de los usuarios y determinar el motivo de la violación. A veces, esta ni siquiera se detecta o se hace pública hasta meses más tarde.
Es una pena, pero el usuario suele terminar lidiando con el desastre en solitario, por lo cual es imperativo contar con una contraseña a prueba de bombas. Aunque novedosas, las tecnologías de encriptación no dejan de surgir, pero no conviene asumir que a todo el mundo le preocupa la seguridad tanto como a ti. En resumen, tu protección reside en tus propias manos, y nosotros solo estamos aquí para ayudar. Con este objetivo en mente, creamos NordPass; un gestor de contraseñas sencillo y fácil de usar que devuelve la gestión de la seguridad online a los propios usuarios.