¿Quién tiene mis datos?

Dadas las numerosas noticias que han aparecido últimamente sobre fugas de datos, a todos se nos pasan por la cabeza preguntas como «¿Dónde pueden estar nuestros datos?» y «¿Qué pasaría si la organización a la que se los hemos suministrado “voluntariamente” tuviera una brecha de seguridad que pudiera provocar el robo o fuga de los mismos?».

Buscando información para hacer este post, me he encontrado con esta página que muestra de forma gráfica información sobre las organizaciones que en los últimos años han sufrido una fuga de datos.

img1

En dicha página podemos encontrar desde casos famosos hasta casos desconocidos pero no menos importantes si son nuestros datos los que están en juego. Podemos aplicar diferentes filtros como puede ser el tipo de organización o el motivo que ha provocado la fuga de información. Destaquemos que si bien en la mayoría de los casos las fugas se han producido debido a un ciberataque, el filtro también ofrece otros criterios más llamativos como son: “publicación accidental”, “inside job”, “pérdida o robo de PC”, “pérdida de dispositivos” y “poca seguridad”.

Si pulsamos sobre cada burbuja podemos acceder a más información sobre el caso en cuestión. En algunos casos te conduce a la página donde la organización explica a sus usuarios el hecho sucedido, en otros casos te redirige a una página donde se puede obtener más información sobre la noticia.

Invito a los lectores a visitar dicha página para comprobar si sus datos pudieran estar en alguna de estas burbujas. Entre otras burbujas aparece la de Ebay: en este caso los hackers consiguieron acceder a una base de datos que contenía las contraseñas de los usuarios. Según Ebay las contraseñas estaban cifradas, aun así recomendaban a los usuarios que cambiaran sus contraseñas.

Este tema hace que enlace con otro caso muy comentado últimamente y que también figura entre las burbujas, seguro que saben a cual me refiero….¿AshleyMadison.com? ¡Correcto, ese es! En este caso el ataque se atribuye a “The Impact Team” pero la noticia no sólo ha sido el robo de la información sino que además se han publicado diversas noticias en las que se referenciaba que la mayoría de las contraseñas usadas en dicha web eran poco o nada robustas (las contraseñas eran del tipo: 123456, 12345, password, DEFAULT, etc…).

Hagamos una reflexión en este punto….¿todas nuestras contraseñas cumplen las siguientes premisas?:

  • Secretas
  • Robustas
  • No repetidas
  • Cambiadas periódicamente

Otras de las noticias relacionadas con el caso es que muchos de los datos eran falsos. Imaginemos a alguien cuyos datos hayan salido a la luz y resulte que ha sido otra persona quien le haya suplantado, sólo con ver su nombre ya tendría que dar una buena explicación a su pareja. Por motivos como éste y aunque nos cueste un poco o mucho configurar el perfil de privacidad (es decir tener un control sobre qué datos personales se pueden ver y quién puede verlos) debemos hacerlo puesto que la configuración de privacidad por defecto suele ser baja.

También se habla de la existencia de un robot que creaba perfiles, a modo de anécdota se podría dar la situación de que una pareja pudiera tener algún conflicto porque uno de los dos haya contactado con un perfil inexistente….

Pulsando en otras de las burbujas he accedido a otra página en la que se registran brechas de seguridad que se van produciendo casi a diario.

Como se puede comprobar en dicha página, existen numerosos casos en los que la brecha de seguridad se ha producido por el robo o pérdida de dispositivos móviles de empleados. En estos casos las consecuencias habrían sido menores e incluso puede que no hubiese habido consecuencias si se hubiesen implantado las medidas de seguridad adecuadas en dichos dispositivos.

Recordemos algunas de las medidas de seguridad a implantar en este tipo de dispositivos:

  • Establecer una contraseña de acceso al sistema
  • Evitar la conexiones a redes wifi públicas
  • Cifrar la información contenida en el dispositivo
  • Deshabilitar la opción de geoposicionamiento
  • Instalación de un antivirus
  • Instalación de parches y actualizaciones de seguridad
  • No dejar los equipos desatendidos
  • Utilizar conexión VPN para enviar o recibir información confidencial
  • Hacer copias de seguridad periódicas
  • Configurar el bloqueo del equipo tras un periodo de inactividad

Otro de los muchos sucesos que aparecen en esta página se refiere al envío de correos con datos personales por error o descuido del usuario que manda el correo. En este caso me viene a la cabeza lo que ocurrió en el departamento de inmigración australiano cuando un funcionario, accidentalmente, mandó un correo que contenía los datos personales de los asistentes a la cumbre del G20. Entre otros habían datos personales de Obama, Angela Merkel o Putin. Y puestos a recordar, recordemos la importancia de:

  • Revisar el campo donde ponemos el destinatario del correo
  • Utilizar la copia oculta si mandamos correos a varias personas
  • En el caso de ser necesaria la comunicación de datos carácter personal de nivel alto, éstos deberán estar cifrados

En el ámbito nacional, en la sede electrónica de la AEPD existe un procedimiento referente a la notificación de quiebras de seguridad, el cual está fundamentado por lo establecido en el apartado 3 del artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT). En la ley se referencia que son los proveedores de servicios de comunicaciones los que deben notificar ante la AEPD las quiebras de seguridad, pero se prevé que con el Reglamente Europeo, esta obligación se haga extensible a otros sectores.

Fuente de la imagen: http://computerworldmexico.com.mx/las-fugas-de-datos-accidentales-encabezan-las-amenazas-internas/