No es ningún secreto que de vez en cuando millones de datos personales de usuarios de servicios en línea son filtrados y acaban pululando por la red (clara y oscura) hasta acabar en foros de ciberdelincuentes. No es la primera vez que esto sucede, y últimamente se ha convertido en todo un clásico.
Una violación de datos no tiene por qué ser necesariamente consecuencia de un ataque perpetrado por infames piratas informáticos.
También puede deberse, por ejemplo, a una memoria USB no cifrada, que alguien que llevaba una buena tajada, olvido en un bar.
Muchas veces es un peaje obligatorio que tenemos que pagar por usar servicios que requieren registro
Y a estas alturas los sufridos usuarios ya nos hemos acostumbrado a que estas cosas pasen continuamente.
Por ejemplo, en enero de 2022, una vulnerabilidad en la plataforma de Twitter permitió a un atacante construir una base de datos con las direcciones de correo electrónico y números de teléfono de millones de usuarios.
Más recientemente, la seguridad de las cuentas de millones de usuarios de Facebook, Google, WhatsApp y TikTok se vio comprometida.
Una empresa de enrutamiento de SMS puso a disposición del público (cualquiera que supiese donde buscar), códigos de autenticación de dos factores (2FA) supuestamente privados.
No se libran ni los prestamistas globales del Fondo Monetario Internacional (FMI) donde 11 cuentas de correo electrónico fueron comprometidas.
Hemos de asumir que tener una cuenta en línea aumenta el riesgo de que nuestros datos sean filtrados, robados, o mal gestionados
Por otro lado, tener una cuenta inactiva, de la que ni siquiera nos acordamos de que existe y aparentemente irrelevante, es un riesgo innecesario.
Si es pirateada, podría causar una cadena de infracciones en otras cuentas más importantes.
Sobre todo sí comparten las mismas contraseñas.
Por lo tanto, hay que deshacerse de las cuentas obsoletas.
Consecuencias de una violación de datos
Los efectos de una violación de datos nunca deben subestimarse, ya que podrían resultar devastadores.
- Daño a la reputación.
- Estrés emocional.
- Robo de identidad.
- Pérdida del control sobre los datos personales.
- Pérdida de datos sensibles.
- Acoso en línea.
- Perdidas económicas.
- Dirección postal publicada en páginas web.
- Nombre y número de teléfono expuestos.
- Daño físico e intimidación.
- Publicidad no deseada.
Si tu nombre, dirección postal y número de teléfono, junto con otra información personal, han formado parte de una violación de datos, los atacantes pueden usarlos para intentar iniciar sesión en alguna de tus cuentas, o suplantar tu identidad con fines inconfesables.
El primer paso para responder a una filtración de datos es averiguar exactamente qué información ha quedado expuesta.
Si una empresa ha sufrido una violación de datos grave, que tenga como consecuencia un riesgo para los derechos y libertades de los usuarios, está obligada por la Ley de Protección de Datos de la Unión Europea (GDPR) a informar sin demoras a las personas afectadas.
La empresa debería:
- Facilitar un medio de contacto para pedir más información.
- Explicar exactamente que información ha sido filtrada.
- Proporcionar una descripción de las posibles consecuencias de la violación de datos.
- Informar sobre las medidas tomadas para mitigar los posibles efectos adversos.
También puedes ingresar tu dirección de correo electrónico (o número de teléfono) en el sitio web Have I Been Pwned.
Un motor de búsqueda de ingeniería inversa que verifica la presencia de una cuenta de correo electrónico en bases de datos de credenciales filtradas.
El servicio es mantenido de su bolsillo por Troy Hunt, director regional de Microsoft.
No te va a servir para solucionar el problema, ya que el mal ya está hecho, pero por lo menos tendrás una idea del servicio que ha filtrado tus datos.
¿Te has visto afectado por una fuga de datos?
Si se confirma que te has visto afectado por una fuga de datos, hay medidas que puedes adoptar para mitigar los efectos colaterales.
Cambia las contraseñas, sobre todo en los sitios donde hayas usado el mismo nombre de usuario o correo electrónico que se han visto afectados.
Repetir el mismo nombre de usuario y contraseña en diferentes servicios es un error de seguridad que muchos hemos cometido alguna vez.
Un villano que haya tenido acceso a una base de datos de contraseñas filtradas, podría probar las mismas credenciales en varios sitios para ver si suena la flauta por casualidad.
Y te sorprendería las veces que suena.
Comprueba posibles accesos a tus cuentas
Muchos servicios en línea permiten ver desde dónde se han realizado los últimos accesos a tu cuenta.
Por ejemplo, lo puedes comprobar en Google, Facebook, Microsoft Outlook, Instagram, y prácticamente en la mayoría de redes sociales.
También en los principales servicios de streaming, como HBO o Netflix.
Si detectas un inicio de sesión desde un lugar desconocido o mediante un dispositivo extraño, cambia la contraseña inmediatamente.
También es importante que actives la autenticación de doble o múltiple factor en todos los servicios que lo permitan.
Vigila tus cuentas bancarias.
Muchos servicios a los que estamos suscritos, almacenan nuestros datos de facturación para hacer cobros recurrentes.
Y muchas veces lo hacen en texto plano sin cifrar.
Es fundamental controlar durante unos días los movimientos de las cuentas bancarias, especialmente si crees que la violación involucró números de tarjetas de crédito o débito que un estafador podría usar para cometer fraude.
Si ves algo inusual, comunícate con tu banco de inmediato.
Reclama a la empresa que perdió tus datos
Si has sufrido pérdidas económicas, o problemas de otro tipo, lo primero que debes hacer es ponerte en contacto con la organización responsable de la fuga de datos.
El perjuicio puede derivar en una indemnización, pero debe ser efectivo y el daño causado real.
Y normalmente pondrán una gran cantidad de pegas, por lo que muchas veces, no quedará otra que recurrir a la vía administrativa.
Vía administrativa
Si tienes pruebas o indicios de un incumplimiento o infracción de la normativa de protección de datos que afecte al tratamiento de tus datos personales, puedes presentar una denuncia ante la Agencia Española de Protección de Datos, aportando la documentación que se te solicite.
Si tu reclamación se refiere a un asunto que es competencia de alguna de las Autoridades autonómicas de Protección de Datos (como el País Vasco, Cataluña o Andalucía), darán traslado a las mismas y te informarán de ello.
Pero si esto no funciona, puedes presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
Llevará a cabo una investigación y te comunicará si está de acuerdo con tu reclamación, informándote de las medidas que haya podido adoptar para corregir la situación.
Si no estás conforme con la decisión del SEPD, puedes llevar el asunto ante el Tribunal de Justicia de la UE.
