Dadas las habilidades de los hackers, la facilidad con que los kits cibercriminales invaden las empresas online, el creciente número de servicios en redes y personas conectadas a internet, no ha de sorprender que cada vez más información se escape de los servicios corporativos.
Si aún no has recibido una notificación de una brecha de datos, espera atento, porque la recibirás. Uno de estos días, abrirás esa bandeja de entrada o entrarás en la página principal de tu sitio favorito de ofertas online sólo para ver un anuncio que diga que alguien irrumpió en los servidores y se hizo con los datos.
Las brechas de seguridad son uno de los precios a pagar por operar online en la era de la información. Las notificaciones de brechas informan a los usuarios que un hacker criminal ha comprometido y hurtado datos de la base perteneciente al proveedor de servicios de uno de los usuarios. Este tipo de notificaciones a menudo listan el tipo de data que fue robada, que frecuentemente incluye nombres, fechas de nacimiento, contraseñas encriptadas, direcciones de email, números de teléfono, y otros datos personales de identificación. Algunas compañías ofrecen monitoreo de crédito gratuito a raíz de las violaciones que pudieran afectar tu información financiera, o de otro tipo, que podría permitir el robo de tu identidad. Irónicamente, casi todas las empresas tratan de restar importancia a este tipo de incidentes, temiendo mencionar la importancia que los datos personales tienen para ellos y la seriedad con que se toman la seguridad.
La primera reacción debería ser la de leer la carta de notificación y analizar los potenciales efectos de los datos expuestos. Si la información comprometida es extremadamente sensible o financera, como datos de pagos o números de seguridad social, entonces querrás inscribirte en algún tipo de servicio de monitoreo de crédito. Lo normal de la industria es que los servicios corrompidos generalmente ofrecerán un año o algo así de monitoreo de crédito tras una brecha seria. Además, querrás mantenerte atento a tu crédito y tus movimientos del banco. Las brechas que comprometen información financiera son de alguna forma raras; brechas que comprometan datos financieros sin encriptar son aún más raras. Si resulta que la compañía ha estado guardando información de pagos o más sensible en textos planos, entonces deberías pensar en “abandonar el barco”, porque nada dice más claro “no me importan mis clientes” que una empresa que mantiene los datos de pago de sus usuarios sin encriptar. Nos enfocaremos ahora en el lado del consumidor.
La mayoría de las notificaciones informarán a los usuarios que la brecha en cuestión ha expuesto contraseñas encriptadas. Las brechas de textos planos ocurren mucho menos frecuentemente. Los textos planos son exactamente eso que crees que significan. Aquellos responsables de las fugas de datos tienen copias exactas de tu contraseña. Si la notificación de la brecha de seguridad dice que las contraseñas estaban encriptadas, significa que los atacantes tienen una versión encriptada de tu contraseña. Si las contraseñas fueron robadas en formato de textos planos, entonces debes cambiar inmediatamente tu contraseña para los servicios que se hayan visto afectados (y aquellos en los que utilices la misma contraseña que te fue robada). Si las contraseñas robadas estaban encriptadas, también deberías actualizar tu contraseña lo más rápido posible, pero sabiendo que será muy difícil (aunque no imposible) que un hacker logre descifrar esas contraseñas encriptadas.
Es mejor ser realistas y asumir que las brechas de datos ocurren mucho más seguido de lo que se reporta, y cambiar las contraseñas cada tanto. Cuanto más tiempo utilices una contraseña, corre más riesgo de verse comprometida, especialmente si usas esa contraseña para varios servicios en línea. Para cada compañía como Evernote o Dropbox que confiesan haber sufrido una brecha de seguridad, hay otra que barre el inconveniente debajo de la alfombra.
Es mejor practicar vigilar los datos todo el tiempo, que permitir una fuga de datos. Los ingenieros sociales utilizan nombres, direcciones de email, fechas de nacimiento y otros para lograr brechas de seguridad y así por ejemplo un ataque de phishing, apuntado a un individuo o grupo de individuos.
Siguiendo ciertas brechas conocidas, los proveedores de servicios online implementarán, en sus servicios, nuevas funciones de seguridad como la autenticación de dos factores o “HTTPS en todos lados”. Mantente atento a esto, y siempre haz un esfuerzo para aplicar las más seguras y exigentes opciones de seguridad que estén a tu disposición, especialmente si esa cuenta contiene información sensible. Observa a los grandes proveedores como Google, Microsoft, Apple, Adobe y otros. En respuesta a los incidentes que han tenido los grandes proveedores, deberíamos seguirlos para ver qué mejoras, soluciones y precauciones proponen sobre el asunto.