La cantidad de registros con información personal de usuarios expuestos como consecuencia de fallos de seguridad tuvo un aumento durante la pandemia. Según informes de mitad de año, la cantidad de brechas disminuyó, pero la cantidad de registros expuestos es cinco veces mayor que en años pasados. Aplicaciones como Zoom o Nintendo fueron solo algunas de las que estuvieron en el centro de estos ataques que derivaron en brechas de datos durante el transcurso del año.
En ambos casos los cibercriminales utilizaron técnicas de phishing o de fuerza bruta, como password spraying y credential stuffing, para obtener credenciales de acceso a cuentas. Mediante la primera, enviaron correos suplantando las identidades de las aplicaciones, informando algún tipo de excusa para que el usuario ingrese sus credenciales en un sitio falso. Para la segunda, se utilizaron de forma automatizada credenciales compuestas por contraseñas débiles y credenciales ya difundidas en viejos ataques y que al parecer los usuarios habían reutilizado para acceder a otras apps o servicios. En conjunto, estos incidentes derivaron en la obtención de más de 100.000 accesos en cada caso, provocando compras fraudulentas y accesos indebidos a los servicios.
En los casos anteriores la información divulgada corresponde a credenciales, pero los tipos de datos que se divulgan entre una brecha y otra pueden variar. Los mismos pueden ir desde datos de contacto, identificación, biométricos o laborales, como direcciones de correo electrónico, identificadores gubernamentales, contraseñas, o información financiera, entre otros. A simple vista, no todos los registros tienen el mismo valor y en algunos casos no parecen tener un valor monetario significativo, pero sí estratégico, como veremos a continuación.
Lectura relacionada: La mala gestión de los datos por parte de las empresas y sus consecuencias
Entonces, ¿qué consecuencias puede traer una brecha de datos para un usuario?
Lamentablemente, muchos desconocen las consecuencias de que datos personales como nombres, edad o direcciones de correo sean expuestos en internet porque no saben cómo los atacantes utilizan esta información para realizar su actividad maliciosa. La falta de conciencia que muchas veces existe sobre la importancia del cuidado de los datos personales y las buenas prácticas de seguridad, como la creación de contraseñas seguras, tiene incidencia directa en la cantidad de brechas de datos que se dan en la actualidad y también en la cantidad de ataques o incidentes de seguridad que sufren los usuarios.
A modo de ejemplo, según datos de una encuesta realizada en Estados Unidos en 2019, el 64% de los estadounidenses jamás verificó si sus datos habían sido comprometidos por alguna de las tantas brechas de datos que ocurrieron, mientras que el 56% dijo no saber qué hacer si su información se vio involucrada en un incidente de esta naturaleza.
Lectura relacionada: Cómo saber si la contraseña que utilizas fue filtrada en una brecha
Por lo tanto, además de que es importante que las compañías detrás de los servicios y aplicaciones tomen las medidas necesarias para proteger que los datos de los usuarios puedan verse comprometidos tras la explotación de una vulnerabilidad propia, los usuarios también tienen su cuota de responsabilidad y es importante que sepan cómo minimizar los riesgos en caso de que sus datos se vean afectados y cómo actuar en caso de que eso suceda.
Qué puede hacer un atacante con nuestra dirección de correo
En primer lugar, es habitual registrarnos con una dirección de correo o número de teléfono. Un atacante puede utilizar esta información como parte de su campaña de suplantación de identidad que llegan a nuestra bandeja de entrada, más conocida como phishing. Estos ataques buscan robar credenciales de acceso o datos financieros o también descargar malware. Dependiendo del objetivo de la campaña, podrían contener archivos maliciosos o enlaces a páginas web donde llevan a cabo del robo de la información, esta vez directamente desde el usuario.
Lectura relacionada: Por qué los ataques de phishing siguen siendo tan efectivos
Asimismo, con las cuentas de correo pueden enfrentarse a campañas de extorsión en las que los atacantes suelen utilizar ingeniería social y presentan a la víctima algún dato personal o privado para lego solicitar una suma de dinero para evitar la divulgación de la información.
Qué puede hacer un atacante con nuestra contraseña o datos financieros
Probablemente esto sea más obvio, pero nunca está de más recordar lo que pueden hacer los cibercriminales con estos datos y tener presente que muchos de los mismos llegan a sus manos luego de obtener primero nuestra dirección de correo o número de teléfono para realizar un phishing.
La obtención de contraseñas y datos financieros puede causar actividades fraudulentas dentro de o fuera de la aplicación. En el caso de los datos financieros pueden ser utilizados para realizar compras a nombre del titular o para comercializarlos en el mercado negro. En el caso de las contraseñas, además de comercializarse, pueden usarse para acceder al servicio o aplicación con fines malintencionados, así como intentar acceder a otros servicios probando si el usuario reutilizó la misma combinación o con pocas variaciones en otra cuenta.
Un estudio realizado en 2018 por el Instituto Politécnico y Universidad Estatal de Virginia reveló que alrededor de la mitad de los usuarios reutilizan sus contraseñas con poca o nula modificación a través de diversos sitios, siendo los más afectados los sitios de compras online o servicios de correo. Asimismo, se estima que aún millones de contraseñas que fueron difundidas en ocasiones previas, continúan siendo utilizadas. Solo basta observar la reciente publicación de las peores contraseñas de 2020 y la similitud con que presenta con las listas de años anteriores, donde al igual que lo han confirmado otros análisis sobre el uso contraseñas, los usuarios siguen utilizando criterios débiles, como combinaciones numéricas como 123456. Estas decisiones pueden llevar a ingresos automatizados en sitios sensibles al momento de la brecha, o en un futuro ataque.
Lectura relacionada: ¿Por qué es tan riesgoso reutilizar tu contraseña?
Si bien como decíamos es responsabilidad de las aplicaciones asegurar un resguardo correcto de la información que el usuario le confía debido a que muchas brechas son consecuencias de errores de configuración, en el siguiente artículo se mencionan algunas recomendaciones para resguardarse del impacto que una brecha de datos pudiera tener en nuestras cuentas.