2018 quedará en la historia como un año en el que la protección de datos y la privacidad tomó un rumbo diferente e histórico al haber entrado en efecto, en el mes de mayo, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) dentro de la Unión Europea.
Tal como explicamos en Tendencias 2019, este hito parece ser el punto de partida para normativas similares al GDPR que comenzarán a replicarse en distintas partes del mundo; como ya lo hizo Brasil con el LPGD, el estado de California con el CCPA, China con su reciente ley de protección de datos y otros países como Japón, con su intención de lograr un acuerdo de adecuación recíproca para la protección de datos con la Unión Europea.
Y si bien el escenario a futuro podría pensarse optimista, lamentablemente 2018 no fue la excepción a otros años en los que hubo importantes casos de brechas de seguridad y exposición de datos de usuarios. De hecho, en 2018 se registraron varios casos; algunos fueron brechas provocadas por atacantes, mientras que otros fueron casos de exposición de datos en los que no se tiene evidencia de que alguien los haya explotado los fallos o errores de seguridad. El más importante del 2018 fue el incidente que sufrió la cadena hotelera Marriot International, ya que se convirtió en la segunda brecha más importante de la historia.
A continuación, repasamos algunos de los que consideramos fueron los más importantes de 2018.
-
Facebook y Cambridge Analytica
Facebook protagonizo uno de los incidentes más importantes de este 2018 cuando en febrero se hizo público que la compañía cedió datos personales de más de 90 millones de usuarios a la consultora política, y que esa información había sido utilizada en la última campaña electoral de los Estados Unidos.
Este incidente no se trató de un robo de información, sino que la compañía recolectó datos de los usuarios a través de una aplicación que ofrecía un test de personalidad, llamada “This is your Digital Life”, y que fue instalada de manera voluntaria por los usuarios, quienes aceptaron que la misma tuviese acceso a información del perfil de los usuarios, su actividad e incluso la de sus contactos.
Lo que sucedió luego fue que esos datos recolectados de acuerdo a los términos y condiciones especificados por Facebook para apps de terceros fueron vendidos a la consultora Cambridge Analytica.
Este caso ocupó varios titulares de los medios y llevó al director de Facebook a tener que declarar ante el congreso de los Estados Unidos.
-
La exposición de datos de Google+
Google, otro de los gigantes tecnológicos, expuso datos de los perfiles de los usuarios en dos incidentes diferentes y que en ambos casos involucraron a la red social Google+. El primero ocurrió en marzo (aunque se reveló en octubre), cuando un bug permitía a desarrolladores de aplicaciones de terceros acceder a datos marcados como privados del perfil del usuario en Google+ almacenados desde 2015 y expuso datos de los perfiles de más de 500 mil usuarios.
Pero esto no fue todo, ya que a principios de diciembre la compañía reveló otro fallo provocado por una actualización defectuosa que afectaba a la API de Google+, denominada “People:get”, diseñada para permitir a los desarrolladores solicitar información básica asociada a la cuenta del usuario, y que durante seis días expuso información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más. El bug fue descubierto por ingenieros de Google al realizar pruebas de rutina.
A raíz del primer incidente, Google anunció el cierre de la red social para agosto de 2019. Sin embargo, una vez que ocurrió el segundo, la compañía adelantó la fecha para abril de 2019.
-
Brecha de seguridad que afectó a clientes de la cadena Marriot International
Independientemente de lo sucedido con Facebook y Google, la realidad es que 2018 quedó marcado por brechas de seguridad, y de hecho, una de ellas se convirtió en la segunda brecha más grande de la historia detrás de la que sufrió Yahoo en 2013. Hablamos de la brecha que sufrió cadena hotelera Starwood, propiedad de Marriott International, cuando a fines de noviembre se supo que ocurrió un incidente en el que se filtró información personal de aproximadamente 500 millones de huéspedes y clientes. Entre los datos robados se encontraban nombres, fechas de nacimiento, e-mails, números de teléfono, pasaportes y tarjetas de crédito.
-
Quora expuso información personal de 100 millones de usuarios
Pero como dijimos, hubo varios casos relevantes, como el incidente que sufrió Quora. La popular plataforma de preguntas y respuestas comprometió información personal de 100 millones cuando detectó el acceso no autorizado de terceros malintencionados. Entre la información expuesta estaban: nombres, direcciones de correo, dirección IP, ID de usuarios, contraseñas cifradas, datos de configuración de las cuentas, entre otros.
-
Número de CPF de millones de ciudadanos de Brasil quedaron expuesto durante varios meses
En marzo de este año investigadores descubrieron un servidor web Apache mal configurado que contenía archivos con el número de identificación financiera (conocida en Brasil como CPF) de 120 millones de ciudadanos brasileños que estaban expuestos y de libre acceso para cualquiera.
Según el investigador de ESET, Daniel Cunha Barbosa, con el número de CPF un atacante puede generar fraudes en nombre de un tercero, y en caso de obtener información adicional, puede incluso llegar a realizar compras en nombre de alguna de las víctimas y hasta solicitar préstamos financieros.
-
Datos de 150 millones de cuentas expuestos por MyFitnessPal
MyFitnessPal es un sitio web y una aplicación para llevar registro y control del ejercicio físico y la alimentación de sus usuarios que fue comprado por la marca Under Armour. En marzo de este año la compañía reveló que las cuentas de 150 millones de usuarios quedaron expuestas, dejando al descubierto información como nombres, direcciones de correo y contraseñas hasheadas.
-
Datos de 92 millones de usuarios expuestos del sitio MyHeritage
En junio de 2018, la plataforma para crear árboles genealógicos que almacena millones de registros históricos globales, además de información de usuarios, reveló que expuso datos de más de 92 millones de usuarios que se habían registrado a MyHeritage luego del 26 de octubre de 2017, y que estaban almacenados en un servidor fuera de la compañía. Los datos expuestos incluían nombre, direcciones de correo y contraseñas hasheadas.
-
340 millones de datos por la compañía Exactis
Otro de los casos más importantes que dejó el 2018 afectó principalmente a los Estados Unidos. Se trata del incidente que sufrió la compañía Exactis (empresa que se dedica a la venta de datos), cuando a mediados de año se supo que expuso 340 millones de registros a través de una base de datos que estaba en un servidor de manera pública y al alcance de cualquier que supiera cómo buscarla. La información filtrada no solamente era de individuos, sino de empresas, e incluían números de teléfono, dirección postal, dirección de correo electrónico, entre otros datos más.
-
British Airways sufrió el robo de datos de 380 mil tarjetas de pago de clientes
La aerolínea de bandera británica fue víctima del robo de datos de 380 mil tarjetas de pago de clientes que realizaron reservas a través del sitio web de la aerolínea, ba.com o la aplicación móvil. Entre los datos comprometidos figuran nombres de los clientes, direcciones de correo, dirección postal y detalles de las tarjetas de pago que utilizaron.
-
Subsidiaria de Expedia comprometió datos de tarjetas de pago de 880 mil clientes
La agregadora de sitios web de viajes Orbiz, subsidiaria del Grupo Expedia, sufrió una brecha de seguridad en la que atacantes tuvieron acceso a información personal de varios clientes; entre ellos los datos 880 mil tarjetas de pago.
Otras empresas que este año sufrieron algún tipo de incidente de seguridad en el que dejaron expuestos datos privados de los usuario fueron: Dell, la compañía de telecomunicaciones T-Mobile, la tienda online SHEIN, la aerolína Cathay Pacific, la plataforma para venta de entradas Ticketfly, la compañía Chegg y las aplicaciones myPersonality, Timehop y Careem.