Las filtraciones de datos son una constante cada vez más común. Las grandes empresas online sufren diariamente cientos de ataques y es inevitable que sus defensas caigan momentáneamente, exponiendo los datos de los usuarios.
Cada vez son más los servicios online que utilizamos los usuarios, como las cuentas del banco, el correo electrónico, tiendas online donde nos registramos e ingresamos nuestros datos, redes sociales y muchos más.
Estas organizaciones custodian una cantidad enorme de datos personales, y los ciberdelincuentes no cesan en sus intentos de hacerse con ellos.
Como consecuencia,
en ocasiones las defensas de estas empresas caen y los atacantes obtienen acceso a toda o parte de esta información, filtrándola para publicarla en la Red u obtener un beneficio económico poniéndola a la venta en el mercado negro.
Las organizaciones e instituciones que manejan tus datos tienen una gran cuota de responsabilidad, no solo en la forma en que manejan tus datos, sino también en la de cómo los protegen de los múltiples riesgos existentes.
Pero,
¿qué significa que hayamos sido víctimas de una fuga de datos? Básicamente, lo que ocurre es que nuestros datos son expuestos y filtrados a Internet, donde cualquiera puede tener acceso a ellos y llevar a cabo todo tipo de actividades ilegítimas y fraudulentas. Esta información en manos de un ciberdelincuente puede tener
consecuencias muy graves, aunque esto también dependerá del tipo de información filtrada o de la protección adicional de estos datos.
Es decir, no es lo mismo que se filtre nuestro número de teléfono que un correo electrónico secundario, y tampoco es lo mismo que se filtren los archivos que tengamos alojados en la nube si estos están cifrados.
¿Qué podemos hacer ante una filtración de datos?
Si somos conscientes de que una empresa o servicio online donde estamos registrados ha sido víctima de un ataque donde se han filtrado datos de sus usuarios, lo primero que debemos hacer es mantener la calma. Puede que se trate de datos antiguos, como un domicilio donde ya no vivimos o un correo electrónico y contraseña distintos al que usamos actualmente. Deberemos seguir los siguientes pasos para asegurarnos y actuar en consecuencia:
1.- Averiguar qué datos han sido comprometidos. Cuando una filtración se hace pública es común que el tipo de datos que han sido filtrados también lo sea, bien porque los atacantes lo han dado a conocer o porque la propia empresa atacada haya realizado un comunicado oficial. En ese momento,
deberemos tratar de averiguar cuáles de nuestros datos han podido ser comprometidos.
Sin embargo, por seguridad, es mejor que por defecto consideremos comprometido cualquier dato que hayamos podido compartir con la empresa, desde el usuario, la contraseña y el correo electrónico, hasta cualquier otra información, como datos de la tarjeta bancaria, número de teléfono o incluso nuestra dirección personal.
Hemos de recordar que cualquier usuario tiene derecho a obtener toda la información que una empresa de servicios online tenga sobre nosotros. Es una práctica muy útil para tener control y visibilidad de cuánta información estamos compartiendo. Además,
es nuestro derecho como usuarios.
2.- Proteger nuestra privacidad. Dependiendo de la información comprometida deberemos actuar de un modo u otro:
•
Contraseñas: con ellas los atacantes pueden acceder a la cuenta afectada y a todas aquellas en las que usemos la misma contraseña. Con este dato, por ejemplo, podrían hacerse pasar por nosotros en redes sociales o realizar compras online a nuestro cargo.
¿Qué podemos hacer para reducir el impacto? Si nuestra contraseña ha sido filtrada, es fundamental que la cambiemos y actualicemos. Además, deberemos hacerlo tanto en el servicio que ha sufrido el ataque como en otros donde hayamos utilizado la misma clave o una parecida.
•
Correo electrónico o número de teléfono: los atacantes suelen utilizar esta información para realizar ataques personalizados basados en ingeniería social; por ejemplo, una supuesta llamada telefónica de nuestro banco, solicitándonos información sobre nuestra tarjeta bancaria y aportando la información filtrada para dar mayor credibilidad.
¿Qué podemos hacer para reducir el impacto? Para estos casos es recomendable utilizar correos electrónicos alternativos y números de teléfono temporales para registrarnos, siempre que sea posible. Así, nos ahorraremos publicidad no deseada y los riesgos de este tipo de filtraciones.
•
Nombre, apellidos, dirección o documentos de identificación personal: al igual que ocurre con el punto anterior, esta información personal puede servir a los atacantes para suplantar nuestra identidad y llevar a cabo todo tipo de actividades ilícitas. Por ejemplo, podrían dar de alta servicios a nuestro nombre, como alquileres, seguros o servicios como el agua o la luz, especialmente si se han filtrado números de cuenta o imágenes de nuestro DNI.
¿Qué podemos hacer para reducir el impacto? Si esta información se ha filtrado, podemos llevar a cabo prácticas como el egosurfing cada cierto tiempo, buscando nuestro nombre y apellidos en Internet para encontrar perfiles falsos o actividad sospechosa. De igual modo, es recomendable no utilizar esta información a no ser que sea imprescindible.
•
Datos bancarios: cualquier ciberdelincuente podría realizar compras y transferencias a otras cuentas con esta información.
¿Qué podemos hacer para reducir el impacto? En estos casos, deberemos notificárselo a nuestro banco para que evalúen el riesgo y puedan tomar las medidas oportunas, como anular la tarjeta bancaria e identificar posibles actividades sospechosas.
3.- Denunciar el incidente. Este es el último paso, pero no el menos importante. Al denunciar el incidente nos aseguramos de que quede constancia para que, en caso de que en un futuro un tercero haga un uso ilegítimo de esta información, el impacto sea mucho menor.
Deberemos recopilar todas las pruebas que podamos y acudir a las Fuerzas y Cuerpos de Seguridad del Estado para que actúen en consecuencia y, en el caso de la
Agencia Española de Protección de Datos, nos ayudarán en caso de que la empresa donde teníamos alojada esta información haya cometido una negligencia o un incumplimiento del contrato, al no proteger debidamente nuestra privacidad.
Finalmente,
es importante que hagamos un ejercicio de reflexión y nos planteemos cuál podría ser el peor escenario posible. Esto nos ayudará a ganar perspectiva y ser más conscientes de la información que compartimos a la ligera sin percatarnos de los riesgos.
No es lo mismo el daño en nuestra reputación, por ejemplo, ocasionado por una filtración de una tienda de venta de teléfonos que por la filtración de datos de una aplicación de citas o encuentros de carácter sexual.
Cómo podemos prevenirlo y protegernos
Como hemos visto, el riesgo existe, por lo que no podemos dejar la protección de nuestra privacidad únicamente en manos de las empresas de los servicios que utilizamos. Los usuarios también debemos cuidar nuestra propia seguridad y privacidad siendo proactivos. Estas son algunas pautas que podemos seguir tanto para protegernos como para minimizar el impacto de este tipo de amenazas:
•
Utilizar un gestor de contraseñas. Además de ayudarnos a tener más control sobre nuestras claves, estas herramientas nos ayudarán a crear contraseñas más robustas y únicas, e incluso nos avisarán cuando sea hora de actualizarlas o si alguna de nuestras cuentas ha podido ser víctima de una filtración.
•
Comprobar nuestras cuentas en servicios como Have I Been Pwned. Esta web nos permitirá comprobar, a partir de nuestro correo electrónico, si alguna de nuestras cuentas vinculadas a dicho e-mail ha sido afectada por una filtración de datos. Es muy recomendable que revisemos este servicio periódicamente y actuemos en consecuencia, ya que no siempre nos enteraremos de cuándo ha habido una filtración.
•
Utilizar correos alternativos. Correos, números de teléfono e incluso nombres y apellidos ficticios son una solución para evitar los riesgos de las filtraciones. Podemos utilizarlos cuando queramos registrarnos en una web o servicio que vayamos a utilizar puntualmente, aunque es recomendable contar al menos con un correo alternativo para evitar utilizar el nuestro personal.