Cómo protegerse de las brechas de datos

Charlotte Empey 22 may 2020

Desde las últimas brechas de datos hasta las mayores, nuestra guía de supervivencia de violación de datos tiene toda la información que necesitas

2020 tiene un comienzo rugiente. E incluso en medio de una pandemia mundial, los ciberdelincuentes no muestran indicios de desaceleración. De hecho, están aumentando. Ni siquiera es mitad de año, y ya hemos visto algunas brechas importantes (sitio en inglés) este año: Roblox, Zoom, EasyJet e incluso algunos sitios de citas como MobiFriends.

La violación de Roblox puede ser una de las historias más interesantes del año. Comenzó con un pirata informático sobornando a un experto de Roblox para acceder al popular panel de soporte al cliente del sitio de juegos familiar. Al obtener ese acceso, el pirata informático tuvo a su disposición la información personal de más de 100 millones de usuarios de Roblox, con la capacidad de cambiar contraseñas, restablecer la configuración de seguridad, manipular el inventario del juego y más. Después de compartir capturas de pantalla de las cuentas de algunos miembros de alto perfil con Roblox, el hacker le dijo a Vice (sitio en inglés)"Hice esto solo para demostrarles un punto". Sin embargo, a pesar de este objetivo supuestamente inofensivo, el pirata informático agregó que cambiaron la contraseña de dos cuentas y vendieron sus artículos de inventario. El hacker luego le pidió a Roblox una recompensa por los errores, pero fue rechazado debido a las intenciones aparentemente no tan nobles. 

El servicio de videoconferencia Zoom quedó tan sorprendido como el resto del mundo cuando de repente se convirtió en una de las aplicaciones más utilizadas del planeta en marzo, ya que las restricciones del Coronavirus obligaron a millones a refugiarse en sus hogares. Era solo cuestión de tiempo para que los cibercriminales se dieran cuenta y aprovecharan la tendencia. Se produjeron todo tipo de esquemas de fraude en Zoom, incluida la violación de datos de Zoom en abril, cuando los investigadores encontraron más de 500,000 credenciales de Zoom pirateadas que se venden en la web oscura por menos de un centavo cada una. Los expertos creen que (sitio en inglés) los datos se recopilaron al incorporar credenciales previamente filtradas a las cuentas de Zoom y encontrar aquellas que funcionan porque los propietarios de las cuentas han reutilizado las contraseñas. 

Nueve millones de clientes de la aerolínea británica easyJet han visto comprometidos sus datos de viaje y direcciones de correo electrónico, y más de 2.000 de ellos han sido robados. La violación de easyJet, que la compañía llama un "ciberataque altamente sofisticado", ocurrió en enero, y la compañía dijo que todos los clientes afectados serán notificados antes del 26 de mayo, informó la BBC (sitio en inglés). Esto es preocupante, ya que los piratas informáticos ya podrían estar utilizando los datos filtrados en campañas de phishing con el objetivo de engañar a las víctimas haciendo referencia a sus planes de viaje específicos. 

La violación de datos de MobiFriends en realidad ocurrió en 2019, pero su tesoro de datos personales sobre más de 3.6 millones de usuarios se hizo público el mes pasado. Las víctimas de la violación de la aplicación de citas tuvieron sus direcciones de correo electrónico, contraseñas, números de teléfono, información de perfil y más comprometidos. Como informó ZDNet (sitio en inglés), estos usuarios ahora son vulnerables a ataques de phishing, intentos de extorsión y otras artimañas que explotan su información personal. 

Las violaciones de datos anteriores aún resuenan

Algunas de las brechas de datos más grandes del pasado han dejado largas pistas de advertencias para los consumidores. Dos de estos son las infracciones de datos de Equifax y Capital One. Juntos, afectaron a casi 250 millones de personas. 

La violación de datos de Equifax en 2017 expuso la información personal y financiera de 147 millones de personas. Después de su respuesta inicial ampliamente denunciada a la violación, donde los ejecutivos de Equifax tendieron a sus propias estrategias de salida antes de alertar a los clientes, la compañía llegó a un acuerdo global (sitio en inglés) con la Comisión Federal de Comercio de EE. UU., La Oficina de Protección Financiera del Consumidor y todos los estados y territorios de EE. UU. . El acuerdo incluye $ 425 millones, divididos equitativamente entre todas las víctimas que presentan un reclamo, y reportes de crédito gratuitos y monitoreo de crédito hasta 2026. 

La violación de datos de Capital One de 2019 puso en riesgo los datos de aproximadamente 106 millones de personas. Un pirata informático se infiltró en el sistema del banco y robó información de las solicitudes de crédito de 100 millones de clientes estadounidenses y 6 millones de clientes canadienses. Si bien no se comprometieron los números de tarjeta de crédito ni las credenciales de inicio de sesión, otros datos valiosos como los números de la Seguridad Social, los números de la Seguridad Social y el historial financiero sí lo fueron. En respuesta (sitio en inglés), la compañía ha ofrecido monitoreo de crédito gratuito y protección de identidad a todos los afectados. 

Entonces, ¿qué podemos aprender de estas infracciones? Un par de cosas. En primer lugar, las violaciones de datos pueden ocurrir en cualquier lugar, desde el servidor local más pequeño hasta la empresa global más grande. En segundo lugar, el monitoreo de crédito gratuito es un movimiento de disculpa común de las compañías comprometidas, pero esto les da a los cibercriminales otra superficie de ataque. Si saben que fuiste una víctima de violación de datos, podrían lanzar tácticas de phishing donde pretenden ser estas entidades de informes de crédito útiles. Siempre recuerda, el cibercrimen es inagotable.

equifaxblog

Cómo pueden afectarte las infracciones de datos

Retrocedamos: ¿Qué es una brecha de datos, de todos modos? Una violación de datos es cuando se infiltra información protegida. Es así de simple. Una brecha es una abertura que se supone que no debe estar allí: un agujero en el fondo de un bote, una rotura en una pared protectora o una grieta explotable en su seguridad en línea, por nombrar algunos. Una violación de datos es cuando esa apertura ilegal conduce al compromiso o robo de información confidencial en línea. La información robada en una violación de datos podría incluir su:

  • Nombre de usuario
  • Dirección de correo electrónico
  • Contraseña
  • Dirección de casa
  • Números de teléfono
  • Fecha de nacimiento
  • Información de licencia de conducir
  • Números de tarjeta de crédito
  • Historial de compras
  • detalles de cuenta bancaria
  • Número de seguridad social

¿Cómo saber si se violaron tus datos?

La empresa afectada debería alertarte de inmediato cuando tus datos se hayan visto comprometidos, pero desafortunadamente este no siempre ha sido el caso, como en la instancia de Equifax. La vigilancia constante de todas tus cuentas puede sonar como una tarea desalentadora, pero es realmente el hábito más saludable que todos podemos adoptar, incluso si eso significa simplemente revisar los extractos y movimientos de todas tus cuentas una vez por semana para asegurarte de que no haya sorpresas. Además, hay herramientas útiles a tu disposición, como el sitio gratuito Avast Hack Check que agrega los datos filtrados de infracciones conocidas para que pueda decirle al instante si tu dirección de correo electrónico se vio comprometida.

¿Qué pueden hacer los cibercriminales con los datos que roban?

La información es el nuevo oro, y los ciberdelincuentes tienen muchas opciones lucrativas en términos de información de violación de datos, algunos de los cuales incluyen:

  • Venta de los datos
  • Retiro ilícito de dinero de cuentas bancarias
  • Usar tarjetas de pago comprometidas para realizar compras
  • Usar la información personal de otros para registrarse para nuevas tarjetas de crédito 
  • Acceda y manipule las declaraciones de impuestos
  • Bloquear a las víctimas de sus cuentas bancarias
  • Bloquee a las víctimas de sus cuentas de redes sociales

GDPR y violaciones de datos

En la primavera de 2018, el Reglamento General de Protección de Datos (GDPR) entró en vigencia en Europa, marcando la mayor reforma global hasta la fecha en violaciones de datos. El RGPD se aplica a empresas e individuos que mantienen datos digitales sobre ciudadanos de la UE, independientemente de dónde se encuentre esa empresa. Protege a los consumidores al exigir que estas compañías mantengan ciertos estándares de alta seguridad y divulguen cualquier información de incumplimiento dentro de las 72 horas posteriores al descubrimiento. Si una empresa infringe estas reglas, se le impondrá una multa de hasta el 4% de sus ingresos anuales o € 20 millones ($ 24 millones), lo que sea mayor. Esto sirve como una advertencia aterradora para los departamentos de TI de todo el mundo, que ahora están aún más inspirados para proteger sus servidores y personal por temor a sufrir el mismo destino que British Airways, que recibió una multa GDPR de £ 183 millones por una violación de los datos de sus clientes. 

¿Qué pasa si soy víctima de una violación de datos?

Si tu información personal se ha visto comprometida, usa la siguiente lista de verificación de respuesta de violación de datos:

  1. Determina qué información se violó:  aprende exactamente qué sucedió con la compañía que se violó. Si no brindan todos los detalles, busca más información de la FTC  (sitio en inglés) y haz un balance de lo que compartido con esa compañía. 
  2. Cambia tus contraseñas crea nuevas contraseñas seguras y usa siempre una contraseña diferente para cada cuenta diferente. Para ayudarte a realizar un seguimiento de todos ellos, utiliza una herramienta segura para recordarlos, como un administrador de contraseñas . Y, si se ofrece, habilita la autenticación de dos factores, lo que automáticamente dificulta al menos el doble para que un pirata informático acceda a tu cuenta.
  3. Ten cuidado con los enlaces en correos electrónicos o textos extraños:  sí recibes correos electrónicos o textos que afirman estar relacionados con la infracción y proporcionan un enlace para hacer clic o un archivo para descargar, sospecha. Estos son a menudo ataques de phishing por parte de ciberdelincuentes que intentan capitalizar tu confusión. En lugar de hacer clic en el enlace o archivo adjunto, cierra el correo electrónico y ponte en contacto directamente con la empresa para ver si el mensaje proviene de ellos.
  4. Para el robo de tarjetas de crédito y débito, comunícate con tu banco:  si te robaron los números de tu tarjeta de crédito o débito, comunícate con tu banco para detener esas tarjetas y obtener nuevos números. También cambia tu PIN. Habla con tu banco sobre el envío de alertas por mensaje de texto o correo electrónico si detectan cargos extraños, compras o retiros.
  5. Robo de licencia de conducir o identificación personal:  Denuncie el robo al Departamento correspondiente. Pídeles sus recomendaciones y mejores prácticas para protegerte. Pueden decidir emitirle una nueva licencia o número de identificación, e incluso pueden tener ciertas acciones de protección contra el fraude que recomiendan que sigas.
  6. Usa un software antivirus: las violaciones de datos generalmente comienzan con estafas de phishing , ya que el pirata informático intenta encontrar una manera de entrar. Protégete de los correos no deseados maliciosos , los enlaces infectados y el malware con un antivirus robusto. Avast Free Antivirus es constantemente calificado como "excelente" por expertos de la industria. Millones de personas en todo el mundo confían en él y te mantendrá a salvo de la horda constante de hackers que golpean todas nuestras puertas digitales.
--> -->