Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Filtraciones de datos personales: riesgos y medidas de autoprotección para la ciudadanía
En los últimos años se ha observado un aumento de los incidentes de seguridad conocidos, en los que datos personales de usuarios han quedado expuestos o comprometidos a raíz de brechas de seguridad en empresas u organizaciones. Este tipo de incidentes no solo afecta a las entidades responsables del tratamiento de los datos, sino que puede tener un impacto directo en las personas cuyos datos se ven involucrados.
Recientemente se han difundido en los medios casos sobre incidentes de seguridad en los que empresas de dierentes tamaños y sectores han alertado de accesos no autorizados e ilegítimos a los datos de sus clientes. Como consecuencia de estos sucesos, se ha visto comprometida la confidencialidad de los datos personales de clientes que estaban bajo la responsabilidad de esas empresas, abarcando desde datos identificativos básicos hasta información relacionada con medios de pago.
Pero, ¿qué es una filtración de datos y qué riesgos supone?
Una filtración de datos se produce cuando datos personales o confidenciales son accedidos, copiados o extraídos por terceros no autorizados como consecuencia de un incidente de seguridad. Este tipo de situaciones suele tener su origen en una brecha de seguridad, ya sea provocada por un ciberataque, un error humano o una mala configuración de los sistemas de seguridad, que deriva en la exposición o exfiltración de la información.
Desde el punto de vista normativo, estos incidentes se encuentran regulados por el Reglamento General de Protección de Datos (RGPD). En este marco, las empresas y organizacions que sufren una brecha de seguridad que afecte a datos personales están obligadas a notificar el incidente a la Agencia Española de Protección de Datos (AEPD), salvo que sea improbable que dicha brecha suponga un riesgo para los derechos y libertades de las personas. En cambio, cuando exista un riesgo alto para dichos derechos y libertades, el responsable del tratamiento deberá comunicar el incidente también a las personas afectadas.
Como se ha visto en distintos casos reportados por los medios,, los datos que pueden verse implicados en una filtración de datos pueden ser muy variados:
- Datos personales (nombres, apellidos y DNI)
- Información de contacto (teléfono, correo electrónico o ubicaciones)
- Datos financieros (números de cuenta o IBAN)
- Contraseñas, datos contractuales, de servicios o datos médicos, entre otros, dependiendo de la actividad de la empresa y la naturaleza de la base de datos que haya podido verse expuesta.
La exposición de este tipo de información puede conllevar riesgos relevantes para las personas afectadas. Entre ellos, se encuentra la suplantación de identidad para abrir cuentas bancarias, contratar líneas telefónicas, créditos, o realizar acciones fraudulentas en nombre de la persona afectada; el acceso no autorizado a cuentas o perfiles en redes sociales; o la realización de fraudes dirigidos utilizando la información filtrada para dotar de mayor credibilidad al engaño.
Estos riesgos ya se han materializado en casos reales recientes, como los siguientes:
- A principios del año pasado, la Policía Nacional desarticuló una organización criminal que había logrado estafar más de 400.000 euros mediante compras fraudulentas en plataformas de comercio electrónico. Para ello, el grupo adquirió los datos bancarios de las víctimas de forma ilícita a través de bases de datos filtradas en la dark web.
- En otro ejemplo reciente, el estafador realizó una llamada telefónica a su víctima haciéndose pasar por empleado de su entidad bancaria y alertó de un supuesto intento de fraude en la cuenta. Para reforzar la credibilidad del engaño, el interlocutor comunicó correctamente datos personales de la víctima, como su nombre completo, número de cuenta y DNI, datos que podrían haber sido obtenidos a partir de filtraciones de datos previas.
Teniendo en cuenta los riesgos, ¿qué medidas generales de protección se pueden aplicar?
El Instituto Nacional de Ciberseguridad (Incibe) cuenta con un blog y varias guías para compartir información y formaciones sobre ciberseguridad para la ciudadanía. Entre ellas, ha publicado varios consejos y medidas a tratar para proteger cuentas comprometidas o simplemente mejorar la seguridad de las mismas. Algunas de ellas son las siguientes:
- Cambiar todas las contraseñas, tanto de las cuentas de los servicios que hayan sido comprometidos, como de otras cuentas en las que se hayan utilizado las mismas credenciales de acceso.
- Se deben evitar las contraseñas débiles, pues son las más fáciles de vulnerar. Para minimizar el riesgo, se debe recurrir a contraseñas robustas y utilizar gestores de contraseñas con los que gestionar distintas contraseñas para cada cuenta.
- Activar medidas de protección adicionales, como la verificación del doble factor siempre que esté disponible en el servicio a utilizar.
- Respecto al correo electrónico, es recomendable utilizar correos electrónicos alternativos para registros, siempre que sea posible, con el objetivo de no utilizar el correo principal y el que pueda contener mayor información personal. Así, además de conseguir disminuir la publicidad no deseada en esa cuenta, se limitan los riesgos de este tipo de filtraciones.
- Respecto a los datos bancarios, siempre que se sospeche de que han sido vulnerados, se debe notificar a la entidad bancaria correspondiente para evaluar el riesgo, tomar las medidas oportunas y actuar según las indicaciones de la entidad bancaria, que pueden incluir anular la tarjeta bancaria e identificar posibles actividades sospechosas. Por otro lado, es recomendable, siempre que sea posible, realizar las compras online con tarjetas virtuales específicas para ese fin, para reforzar la seguridad financiera en entornos digitales.
- Por último, es recomendable averiguar qué datos han sido comprometidos, aunque, por defecto, es mejor considerar comprometido cualquier dato que se haya podido compartir con una empresa afectada por una brecha de seguridad.
Para finalizar, es recomendable realizar una comprobación habitual de las filtraciones de datos y verificar las cuentas cada cierto tiempo, así como realizar una búsqueda básica de nombre y apellidos o documentos de identificación personal para poder detectar perfiles falsos, suplantaciones de identidad o actividad sospechosa. Esta práctica se conoce como egosurfing y su objetivo es conocer la información personal que se puede encontrar fácilmente en la Red.
Además, existen herramientas específicas que permiten comprobar si una dirección de correo electrónico ha sido incluida en alguna filtración de datos conocida, como la página web Have I Been Pwned o el informe de Google One sobre datos filtrados en la dark web, disponible para su uso hasta el 16 de febrero.
Adicionalmente, Incibe dispone de un servicio de apoyo a la ciudadanía, que ofrece asesoramiento gratuito y confidencial a través de distintos canales de comunicación, bajo el nombre de Tu Ayuda en Ciberseguridad.
