El pasado domingo 28 de enero se conmemoró el Día Internacional de la Protección de Datos. Con la creciente actividad cibercriminal en los últimos años por las grandes filtraciones que ocurren a diario y en el marco de la mayor filtración registrada en la historia la semana pasada, se vuelve fundamental reflexionar sobre el impacto de estas filtraciones de datos en nuestra vida digital.
Todos los años hablamos de la privacidad de los datos, pero seguimos viendo cómo aumentan las cifras de ataques y filtraciones. En México, la Ley General de Protección de Datos Personales protege el derecho a la privacidad de datos. Sin embargo, la exposición de datos no para de crecer. El más reciente reporte de amenazas de Tenable reveló que se expusieron más de 137 Terabytes de datos en América Latina, cerca del 53% del total mundial.
La semana pasada, el 23 de enero, se informó de que más de 26.000 millones de registros personales quedaron expuestos, en lo que las autoridades consideran la mayor filtración registrada en la historia. La filtración contiene datos de usuarios de LinkedIn, Twitter, Weibo, Tencent y otras plataformas.
Los actores de las amenazas, alimentados por los beneficios de la venta de datos valiosos, cada vez tienen menos miedo a ser descubiertos o castigados. En posesión de estos datos, los atacantes pueden incluso crear una gran base de información que servirá de referencia para innumerables ataques.
Para ejemplificar las técnicas utilizadas por los delincuentes en posesión de esta información, podemos mencionar el ataque conocido como “relleno de credenciales”, cuando la combinación de identidad y contraseña de un servicio puede utilizarse para vulnerar otro. Combinando información de alto nivel procedente de distintas fuentes para trazar el perfil completo de un individuo -como contraseñas, PIN, números de la seguridad social e incluso información más personal como nombres de hijos, mascotas, direcciones, etc.-, los estafadores pueden disponer de información suficiente para responder a las preguntas de seguridad utilizadas para proteger y/o acceder incluso a cuentas bancarias. Cuanta más información esté a disposición de los piratas informáticos, mayor será el riesgo.
Por otro lado, sabemos que la metodología de ataque de los agentes de amenazas rara vez es avanzada o requiere un alto nivel técnico, sino más bien oportunista. Un equipo de agentes maliciosos busca muchas formas y múltiples caminos a través de los entornos para causar daños y monetizar sus esfuerzos. Además, la adopción generalizada de la computación en nube, tanto a nivel personal como corporativo, introduce nuevos niveles de vulnerabilidad y complejidad de gestión que pueden ser objetivo de los delincuentes.
Hacia una Internet más segura, necesitamos aumentar nuestro papel como agentes de defensa y sensibilizar a la opinión pública sobre el tema y hacer nuestra parte desde un punto de vista personal.
Tenemos que replantearnos nuestra exposición de los activos digitales en Internet. En la mayoría de los casos, un ataque tiene su origen en una falta de configuración correcta de los servicios en la nube, contraseñas débiles y vulnerabilidades conocidas pero no parcheadas que permiten a los actores de la amenaza un punto de entrada a la infraestructura de la organización.
Una vez conseguida la entrada, los actores de la amenaza tratarán de explotar los errores de configuración en Active Directory para obtener privilegios e infiltrarse aún más en la organización para robar datos, cifrar sistemas en ataques de ransomware o causar otros daños que afecten a la vida empresarial o personal de un individuo. Tenemos que trabajar de forma más inteligente para identificar y cerrar estas vías de ataque o nos enfrentaremos al mismo dilema en el próximo Día de la Privacidad de Datos.
Desde el punto de vista de las personas, debemos preguntarnos qué datos y dónde compartimos nuestra información. Podemos empezar por lo básico, prestando atención a los indicadores de fiabilidad de los sitios web y a la aceptación o no de cookies. En el caso de las compras, tener cuidado antes de hacer una compra o introducir datos personales en el comercio electrónico, incluso si las ofertas parecen tentadoras.
En las redes sociales, participar en concursos que ofrecen premios o utilizar una simple aplicación de modificación de imágenes puede resultar tentador o “trending”, pero puede proporcionar información a los atacantes para lanzar un ataque de ingeniería social. Vemos que los ataques de relleno de credenciales aumentan cada día, por lo que tener la misma contraseña para todas las identidades en línea es peligroso. En otra línea de ataque, aprovechando Deep Fake, los delincuentes están utilizando figuras públicas para atraer a las víctimas con vídeos falsos extremadamente convincentes. Piensa en las redes como en el mundo real: ¿irías a un lugar extraño y entregarías tus documentos a un desconocido en la calle sólo para participar en el sorteo de un smartphone?
Las organizaciones y los gobiernos tienen la obligación de proteger la información que los consumidores les confían. Sin embargo, todos desempeñamos un papel en la protección de nuestra información confidencial.
Por: Alejandro Dutto, director de ingeniería de seguridad,
América Latina y el Caribe para Tenable.