Fugas de datos, el 2021 arranca con mal pie
Tabla de contenidos
La filtración de la información de 13 millones de clientes de Phone House ha vuelto a poner el foco sobre un fenómeno en auge. Las fugas de datos han afectado también este año a firmas como Facebook o Fedex
Las fugas de datos están a la orden del día. Podemos observar en los diferentes medios de comunicación cómo, cada vez con mayor frecuencia, se anuncia una nueva compañía que ha sufrido un ciberataque que ha tenido como resultado una filtración de datos masiva de sus clientes o su información confidencial. Compañías que requieren de servicios de ciberseguridad avanzados a raíz de estos incidentes.
A raíz de la epidemia global sufrida por la COVID19, se ha ido observando un incremento paulatino de estos sucesos, que no han hecho sino crecer cada día. El uso de las tecnologías y la permanente conexión de nuestros dispositivos supone un riesgo para nuestra identidad digital.
Correos electrónicos, contraseñas, documentos de identidad o números de teléfono. Todo dato es susceptible de encontrarse expuesto.
Nuestros datos tienen un gran valor que en ocasiones desconocemos. Los grupos organizados formados por cibercriminales saben el gran lucro económico que pueden obtener a través de ellos, tanto mediante su venta como su subasta.
Con el auge de los malware tipo ransomware se ha observado un crecimiento exponencial de la suma de dinero pedida en los rescates. Dinero a cambio de devolver la información previamente cifrada, llegando a cantidades que pueden superar las seis cifras.
El contexto actual en fugas de datos
El año 2021 no ha empezado con buen pie en temas de hackeos y fugas de datos. Además de los 11 millones de números de teléfono filtrados de usuarios de Facebook o el caso de los conversores pdf, ahora hay que sumarle que los datos personales de más de 13 millones de clientes de Phone House, es decir, casi un 28 % de la población española.
Apenas unas horas después de que se hiciese pública la filtración, millones de usuarios estaban tratando de descargarla de forma masiva, ocasionando incluso un colapso en los servidores.
En el archivo en cuestión, aparece una enorme cantidad de datos personales, tales como el DNI, pasaportes, correos, números de teléfono, fijos, fechas de nacimiento, nacionalidad, direcciones físicas, códigos postales, provincias, ciudades y, en muchos casos, hasta la tienda donde los clientes de Phone House se registraron.
¿Y ahora, qué pueden hacer con mis datos?
Es la pregunta que muchos usuarios se hacen cuando conocen la noticia de que su información personal se encuentra presente en alguna de las fugas de datos anteriormente comentadas.
La concienciación en ciberseguridad continúa siendo una tarea pendiente. Existe un desconcierto general ante cuál podría ser el protocolo de actuación ante este tipo de casos, sobre los cuales reina un desconocimiento general por parte de los usuarios.
Uno de los puntos clave para entender por qué se producen las fugas de datos y también porqué son de tan vital interés es el lucro económico que se esconde detrás de los mismos.
De una parte, nuestros datos tienen valor, valor que se puede traducir en lucro económico. Mediante la venta o subasta de bases de datos con millones de registros que incluyen correos electrónicos y contraseñas, los grupos cibercriminales que los obtienen pueden llegar a reembolsarse miles de euros.
Estos datos, tras su posterior venta, podrían ser liberados a la Red y usados por cualquiera para una multitud de fines. Estafas electrónicas, compras falsas, contratación ilegítima de servicios…
Además, no solamente obtienen lucro económico de las ventas de estos, sino que en ocasiones, como ocurre en el caso del ransomware, también obtienen lucro económico del rescate. El que se le pide a las empresas que sufren las fugas de datos a cambio de liberar la clave de cifrado necesaria para recuperar sus archivos.
Pero… ¿Cuáles son los riesgos de las fugas de datos?
Uno de los riesgos potenciales asociados a las fugas de datos es la creación de campañas fraudulentas basadas en la ingeniería social. A principios de año, se comenzó a difundir una campaña de smishing contra Fedex.
En la misma, el usuario recibía un mensaje de texto a su teléfono móvil en el que se suplantaba la identidad de la compañía. Así, dirigiéndose al receptor con sus nombres y apellidos, eran invitados a hacer clic en un enlace malicioso con el pretexto de un problema en la recepción de su supuesto paquete.
Este tipo de campañas fraudulentas están basadas en la ingeniería social. A mayor disponibilidad de datos personales, mejor funcionan estas técnicas. Y más difícil resulta distinguir por parte del usuario el fraude, aumentando, por tanto, su efectividad.
Este es solamente un ejemplo, ya que además de las campañas de smishing, también pueden darse otro tipo de estafas electrónicas. como las que se efectúan mediante llamadas telefónicas o vishing y los clásicos phishing, donde la suplantación de las entidades se produce vía correo electrónico o web.
Por lo tanto, es necesario que aquellos usuarios que se hayan visto afectados por las fugas de datos trabajen en el terreno de la concienciación. ¿Con qué fin? Para que puedan llevar a cabo medidas preventivas adicionales, con la finalidad de no caer en esta clase de incidencias digitales.
Y esto, ¿puede repercutir también en las empresas?
En el ámbito empresarial existen los mismos riesgos que para un usuario medio, ya que es una práctica habitual (y no por ello deseable) que, en ocasiones, las personas utilicen el correo corporativo para registrarse en sitios online o realizar compras como ha pasado en los datos filtrados de Phone House.
En estos momentos, el riesgo de recibir campañas fraudulentas como las mencionadas anteriormente (phishing, smishing, vishing…) es muy elevado.
Apelando al factor humano como eslabón débil en la cadena de la seguridad, estas campañas se ven exponencialmente en auge a medida que también se incrementan las fugas de datos.
Esto se traduce en una retroalimentación de este tipo de sucesos, ya que las nuevas campañas, mejor diseñadas que las anteriores, se vuelven a valer de este factor humano para su intrusión.
Sin duda, en un escenario de futuro a corto plazo, es probable que se observe un gran incremento de este tipo de ciberataques.
Al permitirle crear contenido de suplantación más real, más difícil de discernir entre realidad o no, su tasa de efectividad aumenta, por lo que también lo hace la rentabilidad que estos ciberdelitos tienen a nivel económico.
Además, el procesamiento judicial de este tipo de cibercriminales es un asunto difícil, ya que entran en juego factores que resultan adversos para las investigaciones policiales pertinentes.
Hablamos del uso de medios técnicos destinados a proteger el anonimato, las transacciones mediante criptomonedas y las políticas exteriores con otros países cuando el artífice de uno de estos ataques se encuentra en un país que no es colaborador.
¿Es posible hacer algo tras las fugas de datos?
Cuando ocurre una filtración de este estilo, el procedimiento que marca la ley es que la compañía afectada se ponga en contacto con la Agencia Española de Protección de Datos (AEPD) para que esta inicie una investigación.
En uno de los grandes foros de España, se ha comenzado a mover la iniciativa para aplicar este procedimiento y proceder a reclamar a la AEPD, siendo suficiente aportar pruebas como la información personal que ha sido filtrada en el archivo.
Aunque no sin cierta desesperanza, ya que los ciudadanos perciben que dicha reclamación puede no surtir los efectos oportunos o deseados, pero a efectos actuales, es el único procedimiento legal disponible para los usuarios que padecen las fugas de datos.
Medidas preventivas
El sentido común es la mejor medida preventiva contra este tipo de hechos. Para ello, es necesario que los usuarios desarrollen una concienciación sobre este tipo de actividades fraudulentas, así como de su funcionamiento, ya que nadie está exento de sufrir las repercusiones de un ciberataque.
La desconfianza puede ser un factor que nos ayude a pararnos un momento ante cualquier tipo de enlace recibido, por muy verídico que nos pueda parecer, y realizar durante unos breves segundos un análisis del contenido que estamos recibiendo.
Además, los expertos en ciberinteligencia proponen otro tipo de medidas preventivas como el doble factor de autenticación en los servicios. Este recurso puede ser de utilidad ante este y otros tipos de ciberataques, ya que, mediante las filtraciones de correos electrónicos y contraseñas, nuestros servicios podrían verse en riesgo ante accesos ilegítimos.
Respecto a las empresas, apoyarse en la auditoría de seguridad de aplicaciones web y los ejercicios de Ciberinteligencia puede ser determinante para la prevención de este tipo de amenazas, que pueden generar un alto impacto negativo en las mismas.
Conclusiones
El aumento de ciberataques es un hecho que no podemos obviar. El aumento de conectividad, debido, entre otros factores, a la pandemia vivida actualmente en todo el mundo, se ha traducido en un crecimiento exponencial de las actividades llevadas a cabo por los cibercriminales.
Ninguna empresa parece estar libre de sufrir este tipo de hechos, como las filtraciones de datos vividas estos últimos días que han afectado a Facebook o Phone House, o el caso de las estafas vía mensaje de texto sufridas por Fedex hace tan solo unos meses.
Los datos personales de los usuarios tienen un valor con los que estos grupos criminales se lucran económicamente.
Además, esto genera un impacto adicional en las futuras campañas. La ingeniería social avanza, y a mayor disponibilidad de este tipo de datos personales, mejores son sus técnicas, tácticas y procedimientos.
Por lo tanto, es innegable que la concienciación contra las estafas y fugas de datos debe ser cada día mayor, así como aplicar las medidas de prevención disponibles, al alcance tanto de las empresas como de los usuarios.
Nadie está exento de sufrir un ciberataque ni de pagar las consecuencias derivadas de los mismos, que pueden suponer desde un mal rato debido a un sospechoso acceso ilegítimo a nuestra red social favorita hasta la pérdida de varios miles de euros pagados en un rescate derivado de uno de estos secuestros digitales.
Descubre nuestro trabajo y nuestros servicios de ciberinteligencia en www.tarlogic.com