En 2022 la Autoridad Nacional de Protección de Datos Personales (ANPD) impuso multas por más de S/ 8 millones por un inadecuado tratamiento de los datos personales de los ciudadanos, lo cual puede conllevar que sean comercializados entre delincuentes y usados para la extorción o el hurto. En 2023 fueron más de S/ 7 millones en multas y este año no se espera que la cifra disminuya, porque este tipo de incidentes siguen sucediendo con cada vez mayor frecuencia.
Los casos más recientes y sonados fueron la filtración de datos de clientes de Interbank y de la Municipalidad de Miraflores. En ambos incidentes se presume, hasta que terminen las investigaciones correspondientes y lo comprueben, que no se tomaron las medidas de seguridad adecuadas y fallaron los controles existentes. Pero no son los únicos casos, existen muchas organizaciones públicas y privadas que padecen de estos problemas todos los meses.
Antaño las bases de datos robadas se comercializaban en la avenida Wilson. Ahora lo usual es tenerlas disponibles en la Dark Web y comercializarlas luego en redes sociales. ¿Qué es la web oscura? Como bien explican los expertos de ESET, se trata de partes de Internet que no están indexadas por los motores de búsqueda tradicionales. La Dark Web no es ilegal ni está poblada únicamente por ciberdelincuentes, pero solo las personas con conocimientos avanzados en informática entran a ella y se puede navegar de forma anónima utilizando el navegador Tor.
En la Dark Web se encuentran muchos foros a los que acuden los hackers ofreciendo y contratando servicios diversos. Un usuario puede hallar alguien que ofrece desbloquear la contraseña del correo del conyugue para saber si le es infiel hasta tarjetas de crédito falsas que se pueden usar para consumir en diversos comercios.
Es un problema global, no solo algo típico de nuestras tierras. Según la investigación «Cyber house of cards – Politicians’ and staffers’ personal details exposed online» de Proton y Constella Intelligence, citado como ejemplo desde ESET, mostró que el 40% de las direcciones de correo electrónico de parlamentarios británicos, europeos y franceses estaban expuestas en la Dark Web, y 700 de estos correos tenían contraseñas asociadas almacenadas en texto sin formato y expuestas. Cuando se combinan con otra información como domicilios particulares y cuentas de redes sociales los riesgos de ser víctima de ataques se elevan. Esta investigación también analizó más de 16,000 correos electrónicos de funcionarios estadounidenses, de los cuales un 20% fueron encontrados en la web oscura. Aunque estos correos están disponibles públicamente en los sitios web gubernamentales, su presencia en la red oscura no necesariamente señala un fallo de seguridad en sí mismo. Más bien, evidencia un mal uso de las direcciones de correo electrónico oficiales para registrarse en sitios web de terceros, los cuales al ser atacados o vulnerados, exponiendo información confidencial y poniendo en riesgo la seguridad de los datos.
¿Cómo llegan los datos ahí? Hay varias formas por medio de las cuales los datos terminan apareciendo en un foro o sitio de la Dark Web. Algunas pueden ser el resultado de una negligencia, mientras que muchas otras no lo son. La gran mayoría de esas formas son producto de un ataque de phishing en sus distintas versiones. Bajo distintos formatos la metódica es la misma: engañar al usuario para ingresar a páginas falsas y tomar de ahí sus datos. Ahora está de moda usar una calcomanía con un código QR falso.
Cuando se trata de una filtración de datos en una organización pública o privada, el usuario particular no cometió la imprudencia, sino que alguien dentro de la empresa de la cual es cliente cometió un error y expuso las bases de datos que manejan. Según ESET, durante el 2023, en Estados Unidos hubo más de 3,200 incidentes en organizaciones que llevaron a comprometer datos pertenecientes a más de 353 millones de clientes. En esos casos los datos compartidos en la Dark Web suelen terminar siendo vendidos a demanda.
Dependiendo del tipo de datos, los riesgos son mayores. En algunos casos cruzan información de varias bases de datos y terminar con huellas dactilares, estados de cuentas bancarios, dirección del domicilio, perfil en redes sociales, tipo de seguro contratado, etc. A más detalles, más riesgos. Se puede concretar un fraude de identidad; sacar créditos a nombre de otra persona; generar declaraciones juradas falsas para recibir un reembolso o recibir servicios médicos de forma ilegal.
Desde ESET recomiendan que, en caso de descubrir o confirmar que algún dato personal o confidencial fue expuesto y está siendo comercializado en la web oscura, como medida de precaución es mejor cambiar todas las contraseñas que se manejan y no solo la del banco o tienda vulnerada.
«Por desgracia, esto no es algo que ocurra sólo a políticos u otras personas de relevancia pública. Le puede pasar a cualquiera, incluso aunque lo haga todo correctamente. Y a menudo ocurre. Por eso merece la pena vigilar de cerca tu huella digital y los datos que más te importan», comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.
Medidas a tomar
Tanto si se trata de una pequeña empresa, una gran corporación o un usuario individual, según el Dr. Erick Iriarte Ahon, CEO de eBIZ, la primera acción que deben tomar los usuarios cuando se conoce de una filtración de datos es, una vez que puedan acceder a las plataformas digitales que hayan sido vulneradas, cambiar sus contraseñas y actualizar todos sus accesos digitales.
Desde ESET recomiendan que, en caso de descubrir o confirmar que algún dato personal o confidencial fue expuesto y está siendo comercializado en la web oscura, como medida de precaución es mejor cambiar todas las contraseñas que se manejan y no solo la del banco o tienda vulnerada.
Es recomendable, detallaron, que se coloquen nuevas credenciales fuertes y únicas; utilizar un gestor de contraseñas para almacenar y recuperar las contraseñas y frases de contraseña guardadas; activar la autenticación de doble factor (2FA) en todas las cuentas que la ofrezcan y notificar a las autoridades pertinentes (fuerzas de seguridad, plataforma de redes sociales, etc.) sobre el incidente.
Además, deben recordarse las buenas prácticas de seguridad, como instalar software de seguridad de un proveedor acreditado en todos los dispositivos que se conectan a Internet; no abrir mensajes de usuarios sospechosos y verificar la autenticidad de los remitentes de los correos recibidos no solicitados, así como estar alertas ante notificaciones extrañas.
Para evitar ser víctima de un ataque en el futuro, desde ESET aconsejan revisar la configuración de seguridad/privacidad de las cuentas en las redes sociales. Y, en la medida de lo posible, invertir en un servicio de vigilancia de la web oscura que notifique de los datos personales recién descubiertos en Internet y permita actuar antes de que los ciberdelincuentes puedan sacar provecho de ellos.
