¿Cómo se producen las filtraciones de datos y cómo manejarlas?

Con el auge de la comunicación en línea en los últimos veinte años, los datos personales se comparten a través de internet hoy más que nunca. Estos datos personales pueden incluir desde nombres de usuario y contraseñas de redes sociales hasta información más importante como números de la Seguridad Social y detalles de cuentas bancarias. Con este flujo de información personal siendo compartido en línea cada día, las filtraciones de datos son una realidad desafortunada pero inevitable. Una filtración de datos se define como el robo de información de una fuente de datos que expone algún tipo de información confidencial o protegida. Las filtraciones de datos pueden producirse de diferentes maneras.

Un caso de filtración de datos puede ocurrir por accidente o error cuando un empleado, encargado de mantener la privacidad de la información personal como parte de sus funciones laborales, extravía una memoria USB o envía un correo electrónico con información personal al destinatario equivocado. Por el contrario, las filtraciones de datos también pueden ser acciones deliberadas llevadas a cabo por piratas informáticos o delincuentes que buscan sustraer información personal con fines de robo de identidad u otras formas de actividad ilícita. Los cibercriminales pueden emplear diversos medios para robar la información personal de los consumidores. Uno de los principales medios que puede utilizarse para robar información personal en línea es el crimeware. El crimeware es un programa malicioso que puede adoptar cualquiera de las siguientes formas:

• ransomware – Esta forma de programa malicioso mantiene como rehenes los archivos del ordenador del usuario hasta que la víctima paga un rescate, aunque dicho pago no siempre garantiza la devolución de los archivos robados.
• inyección SQL – En este tipo de ataque un pirata informático comienza introduciendo un código arbitrario en el formulario web de un usuario en línea. Si el formulario en línea no se maneja y dirige adecuadamente al pasar por el backend del sitio web, puede llegar a corromper dicho sitio.
• intentos de phishing – El phishing es una forma de ataque de ingeniería social en línea en la que un cibercriminal se hace pasar por una fuente legítima o de confianza de la víctima y se pone en contacto con ella a través de medios tales como el correo electrónico o el chat en línea. El objetivo de estos ataques es engañar a la víctima para que le dé acceso a su información personal o para que descargue un programa malicioso que recogerá automáticamente su información personal.

Unido al uso de crimewares, los cibercriminales pueden robar la información personal de los consumidores con estos métodos alternativos:

• ataques a aplicaciones web – Los consumidores suelen tener que compartir algún tipo de información personal cuando se registran en aplicaciones web. Cuando un cibercriminal ataca un sitio web puede acceder a dicha información, que pudiera abarcar desde nombres hasta direcciones y números de teléfono.
• skimmers de tarjetas de pago – Los delincuentes pueden colocar skimmers de tarjetas (dispositivos que realizan copias fraudulentas de los datos personales contenidos en tarjetas de crédito o débito) en lectores de tarjetas situados en espacios públicos como cajeros automáticos o gasolineras. Como estos skimmers de tarjetas pueden ser muy difíciles de notar, los consumidores entregan su información personal sin ser conscientes de ello.
• espionaje cibernético – Se trata de otra forma de ataque electrónico malicioso que suele estar vinculado a actores afiliados al Estado. El objetivo de dicha intrusión es perforar un sistema en línea y robar información a lo largo del tiempo, en lugar de hacerlo de una sola vez en el ataque inicial.
• intrusiones en puntos de venta – Los cibercriminales también pueden atacar las terminales y controladores de los puntos de venta y robar directamente los datos financieros de un consumidor. Esta forma de ataque es cada vez más común en restaurantes y otras pequeñas empresas.
• cuentas comprometidas – A semejanza de los ataques de phishing, los cibercriminales pueden robar la información de la cuenta de correo electrónico del director general de una empresa u otro funcionario de alto rango dentro de un negocio o corporación con el fin de obtener la información personal de los empleados, bajo la apariencia de operaciones o funciones comerciales habituales.

¿Qué pueden hacer los cibercriminales y delincuentes con la información que roban en línea?

Un cibercriminal, que ha obtenido acceso a la información personal de un consumidor en línea, puede aprovecharla para:

• abrir y utilizar tarjetas de crédito a nombre del consumidor;
• robar y utilizar las recompensas de las tarjetas de crédito de un consumidor, como por ejemplo las opciones de devolución de dinero o las millas de aerolíneas;
• retirar dinero de las cuentas bancarias, de inversión o de pago por móvil de los consumidores;
• presentar una declaración de impuestos bajo el nombre del consumidor y luego cobrar el dinero de la devolución de impuestos;
• obtener tratamiento médico utilizando las credenciales del consumidor;
• solicitar beneficios gubernamentales utilizando las credenciales del consumidor;
• abrir una cuenta de servicios públicos o de telecomunicaciones utilizando la información personal del consumidor;
• otras formas de fraude de identidad.

Otra forma en que los cibercriminales pueden sacar ganancia de la información robada a los consumidores es vendiéndola en la Dark Web (zonas de internet utilizada con fines delictivos y a las que no puede accederse utilizando motores de búsqueda ordinarios). Debido a la peligrosidad inherente de mercados negros como la Dark Web, esta exposición de sus datos personales puede acarrear desastrosas consecuencias para las víctimas. Por ejemplo, los números de la Seguridad Social pueden venderse por apenas un dólar, mientras que los números de las tarjetas de crédito y los pasaportes estadounidenses pueden venderse por 110 y 200 dólares, respectivamente.

¿Cómo pueden los consumidores protegerse de las filtraciones de datos y los ciberataques?

Aunque siempre se aconseja a los consumidores que mantengan su información personal a salvo en todo momento, la realidad de nuestra sociedad actual puede hacer que esta tarea sea extremadamente difícil. Desde los sitios web de redes sociales hasta las transacciones para adquirir artículos cotidianos en los puntos de venta, los consumidores intercambian algún tipo de información personal casi todos los días. Aunque los sitios web, las plataformas y las empresas que recogen y utilizan dicha información están obligados a protegerla, esto no siempre ocurre. Por ello, se pueden tomar las siguientes medidas para reducir las posibilidades de ser víctima de una filtración de datos o un ciberataque:

• Destruya los documentos antes de desecharlos.
• Utilice sitios web seguros siempre que sea posible.
• Sólo facilite su número de la Seguridad Social cuando sea absolutamente necesario.
• Cree contraseñas fuertes y seguras utilizando una combinación de letras mayúsculas y minúsculas, caracteres especiales, frases poco comunes o números no secuenciales.
• Utilice una contraseña única para cada una de sus cuentas. Esto ayudará a reducir en gran medida el daño que puede resultar del robo de una contraseña en una filtración de datos.
• Asegúrese de que utiliza la versión más actualizada de los sistemas operativos y las aplicaciones web o móviles en todo momento.
• Supervise con frecuencia todas las transacciones en línea y los estados de cuenta mensuales para asegurarse de que no hay incoherencias.
• Compruebe regularmente su informe de crédito para asegurarse de que un cibercriminal no ha solicitado una línea de crédito a su nombre.

¿Qué pueden hacer los consumidores una vez que su información personal ha sido expuesta en una filtración de datos?

Aunque todos los pasos anteriores ayudarán sin duda a los consumidores a evitar el robo de su información personal, las filtraciones de datos son inevitables debido a la naturaleza no regulada de internet. A pesar de que el robo de datos suele causar un daño inmediato al consumidor, las siguientes medidas pueden tomarse para mitigar o minimizar el mal causado:

• Averiguar exactamente qué datos se han visto comprometidos o han sido robados – Las empresas y compañías estadounidenses están obligadas a informar a los consumidores cuando sus datos se han visto comprometidos o han sido robados. Después de recibir estas notificaciones, usted puede tratar de determinar qué cuentas específicas se han visto comprometidas y aceptar cualquier ayuda que la empresa implicada en el robo de datos pueda ofrecer, como por ejemplo la supervisión gratuita de su crédito.
• Póngase en contacto con su institución financiera – Tanto si se trata de una cuenta de inversión como de una tarjeta de crédito, ponerse en contacto con su institución financiera tras enterarse de que ha sido víctima de un robo de datos puede ayudarle a asegurar el dinero contenido en dichas cuentas. Desde cambiar el número de su tarjeta de crédito hasta cancelar o disputar las transacciones fraudulentas, hay una variedad de maneras en que su institución financiera puede ayudarle a combatir un robo de datos.
• Cambie y refuerce todas las contraseñas de sus cuentas en línea – Como se ha mencionado anteriormente en este artículo, mantener la misma contraseña para varias cuentas aumentará en gran medida el daño recibido si esta contraseña se ve comprometida. Usted puede utilizar un gestor de contraseñas para asegurarse de que utiliza contraseñas diferentes para todas sus cuentas y de que tiene una ubicación centralizada para acceder a todas sus contraseñas.
• Busque actividades sospechosas y otras incongruencias – La supervisión de su cuenta también puede ayudar a combatir una filtración de datos. Esté atento a una retirada de fondos de su cuenta bancaria que usted no haya autorizado o a la aparición de nuevas cuentas en su informe de crédito.

Las filtraciones de datos pueden ser una experiencia muy estresante para el consumidor. En los últimos veinte años hemos depositado un nivel de confianza cada vez mayor en la tecnología en línea y muchos piratas informáticos y cibercriminales han desarrollado nuevas artimañas para aprovecharse de ella. Al igual que los piratas y ladrones del pasado se aprovechaban de los débiles a lo largo de la historia, los ciberataques han adoptado el mismo enfoque en el contexto digital debido a la naturaleza no regulada de internet. Por ello es imperativo que los consumidores tomen medidas preventivas para evitar que su información quede expuesta en una filtración de datos. Sin embargo, siempre hay soluciones paliativas en caso de que un consumidor vea comprometida su información.