“Una persona actualizó la información de su visa a través del portal oficial de la entidad en el país. Al hacer este proceso, descubrió que podía ver y descargar los datos del documento de otras personas con sólo hacer un pequeño cambio al final de la URL”, refirió Felipe Gómez, Gerente para Latinoamérica de la empresa Fluid Attacks.
“Ante las consecuencias de lo expuesto y por la divulgación mediática que tuvo el hecho, se hace evidente que las organizaciones necesitan establecer protocolos que protejan la información que se hace pública en diferentes lugares”.
De acuerdo con Gómez, cuando se filtran datos de una organización, y una empresa o un ciudadano los publica en Internet, los riesgos aumentan y se abre la posibilidad para que los ciberdelincuentes aprovechen la oportunidad, divulguen y comprometan activos relacionados a las vulnerabilidades halladas de un sistema de TI (Tecnología de la Información).
Es por ello que Fluid Attacks, compañía especializada en realizar pruebas de seguridad tecnología en las empresas, recomienda que cuando una persona o una organización tenga filtraciones de información de este tipo, tenga presente los siguientes aspectos:
1. Proteger: Acceder a datos sensibles de terceros, así sea de manera involuntaria, es un delito y pone en riesgo la seguridad de personas y organizaciones.
2. Denunciar: Cuando se detectan este tipo de filtraciones, se debe contactar y denunciar el incidente ante los organismos oficiales en el país, cómo puede la policía, con su unidad especializada en delitos informáticos, además de notificar de manera formal a la entidad comprometida.
3. Divulgar Responsablemente: Entender el canal y conducto regular para divulgar una brecha de seguridad. Las redes sociales, no son el lugar adecuado para reportar una vulnerabilidad, su exposición es tan grande que resulta imposible saber quién tiene acceso a esta y qué tipo de uso le van a dar. Al final, las consecuencias podrían ser peores que la intención de hacer una denuncia.
Frente a este tipo de casos, la Organización Internacional de Normalización (ISO), que cuenta con la participación de 165 países, en su norma IEC 29147: 2018 explica que, como un procedimiento estándar con respecto a la publicación de vulnerabilidades, “el objetivo de su exposición es reducir los riesgos asociados con su divulgación”.
Y es que, como señala Gómez, las oportunidades de mejora para las organizaciones surgen cuando las vulnerabilidades se ven expuestas donde hubo fallas de seguridad técnicas o de metodología. “Las empresas requieren prestar una atención especial a la gestión de reportes y la implementación de los estándares. Ante cualquier tipo de incidente es fundamental establecer un canal de divulgación coordinado, de fácil acceso para la transmisión segura y transparente en el manejo de la información”, asevera el ejecutivo de Fluid Attacks.
Agrega que cuando suceden estos incidentes, debería primar el bien común, sobre el personal. “El deseo de figurar o tener una exposición mediática no puede estar por encima de la protección de los datos sensibles para una organización o una persona”, concluye Gómez.
