La fuga de datos personales es algo que ocurre a diario. Algunos de los casos aparecen en las noticias, y otros no se dan a conocer. Solo en Estados Unidos se han registrado 163 millones de cuentas que se vulneraron a lo largo del año (según los datos recogidos por el Centro de Recursos para el Robo de Identidad). Para los que no llevan la cuenta, las cifras se han multiplicado por cuatro con respecto al año anterior.
Aunque este año todavía no haya terminado, no queremos esperar para contarte las cinco fugas de datos más graves registradas a principios del 2017, o más bien las sucedidas en el primer trimestre del año para ser más precisos. La lista debería de empezar con Yahoo y sus tres mil millones de cuentas filtradas, sin embargo, esa filtración tuvo lugar en 2013; además, en octubre, que corresponde al cuarto trimestre, se publicó más información sobre el alcance de la filtración. Y finalmente, la información se actualizó respecto al fallo de seguridad que todos conocemos.
5. Avanti Markets: 1.6 millones de cuentas
Puede que no hayas oído hablar de Avanti, pero seguro que tu empresa sí, incluso quizá hayas comprado un tentempié en alguna de sus máquinas expendedoras. Los atacantes consiguieron infectar varias de las máquinas con un software malicioso creado especialmente para interceptar el número de teléfono de las tarjetas de crédito, fechas de caducidad y sus CVV. Todavía se desconoce cómo consiguieron infectar los distintos dispositivos y, en algunos casos, los atacantes llegaron a acceder a información biométrica de los consumidores – algunos terminales incluían lectores de huellas dactilares. Gracias a las diferentes configuraciones de los quioscos, no se hackeó la red entera. Por la misma razón, la compañía no pudo calcular de manera exacta los daños causados y anunció que se vieron afectadas, al menos, 1.6 millones de cuentas.
4. Election Systems & Software: 1.8 millones de cuentas
En agosto, expertos en seguridad informática descubrieron una brecha en la nube de los servicios web de Amazon (AWS por sus siglas en inglés). Contenía una copia de seguridad de Election Systems & Software (ES&S), una compañía que fabricaba máquinas de votación y sistemas de gestión de elecciones. Entre los datos figuraban un total de al menos 2 millones de cuentas con sus nombres, direcciones, fechas de nacimiento y el partido de afiliación de los habitantes de Illinois. Por defecto, el acceso a AWS es solo posible mediante verificación, pero por alguna razón, los ajustes del dispositivo estaban mal configurado, por lo que la información del contenedor era pública. No hay manera de saber si alguien descubrió los contenedores antes que los expertos, pero la información personal de 1.8 millones de personas era pública y accesible, por lo que este accidente es un claro ejemplo de fuga de datos.
3. Dow Jones & Compay: 2.2 millones de cuentas
El incidente de Dow Jones es muy similar al ejemplo anterior ya que está involucrado otro repositorio de AWS con un archivo de datos. El problema, de nuevo, fue la configuración, aunque, en esta ocasión, la información no estaba disponible para todo el mundo, pero sí para los usuarios de AWS. El incidente comprometió la información personal y confidencial de millones de suscriptores de Wall Street Journal, Barron’s y otros periódicos y revistas editados por una de las agencias de información financiera más importantes del mundo. Se desconoce la razón por la que los ciberdelincuentes pudieron acceder a la nube.
2. America’s Job Link Alliance: 5.5 millones de cuentas
Una vulnerabilidad en el software de la aplicación de una gran web de búsqueda de trabajo permitía a los hackers conocer el nombre, la fecha de nacimiento y el número de la seguridad social de los usuarios de más de diez estados. En febrero, el hacker creó una cuenta en el sistema y, mediante la vulnerabilidad, obtuvo acceso a más de 5.5 millones de cuentas. El robo se descubrió dos semanas después, cuando la vulnerabilidad había desaparecido. Oficialmente, en un comunicado de prensa, America’s Job Link Alliance explicó que la vulnerabilidad se dio porque la actualización de una aplicación de octubre 2016 no estaba “bien configurada”.
1. Equifax: 145.5 millones de cuentas
Y ahora la peor filtración: la de Equifax. En septiembre, los representantes de la compañía revelaron que unos hackers habían tenido acceso a su base de datos y, por tanto, al nombre de sus clientes, sus números de la seguridad social, fechas de nacimiento y direcciones. La filtración duró más de un mes, desde mediados de mayo hasta finales de julio. Para acceder a la información, los hackers usaron la vulnerabilidad de la estructura de Apache Struts 2. En la evaluación inicial de Equifax, el ataque afectó a la información de 143 millones de personas, pero más tarde la empresa informó de que habría afectado a más de 145.5 millones. Entre otras cuestiones, el ataque comprometió más de 209,000 tarjetas de crédito, así como la información personal de 182,000 personas. La vulnerabilidad que permitió que sucediese la filtración fue eliminada por Oracle (los desarrolladores de Apache Struts) en marzo, pero dos meses después de lo sucedido, Equifax, una de las mayores agencias sobre información de crédito de Estados Unidos, aún no ha instalado las actualizaciones.
Para resumir lo aprendido de las mayores cinco filtraciones: en al menos cuatro de ellas (se desconoce la causa de la primera), la filtración se hubiera podido prevenir por completo. En los incidentes producidos con Election Systems & Software y con Dove Jones & Company, la información quedó desprotegida debido a diferentes errores de configuración. La filtración de America’s Job Link Alliance se debió a una vulnerabilidad conocida de la aplicación web. En el caso de Equifax, la vulnerabilidad se habría evitado si se hubiese instalado a tiempo un parche. En conclusión, estas filtraciones se hubieran podido evitar mediante una auditoría de la infraestructura informática, algo que debería hacerse con frecuencia en todas las compañías, sin importar su tamaño.