CiberinteligenciaFuentes abiertasInteligenciaOSINTServicios

La importancia de los leaks, PII y prevención

ciberseguridad en cadiz

¿Sabías que más de un 80% de los ciberataques se inician con credenciales robadas o filtradas, o que se producen casi 5 millones de data leaks diarios?

En la actual era de las TICs y de la transformación digital, donde a diario nos damos de alta en multitud de plataformas y sitios webs con información personalmente identificable (PII), cobra gran importancia la prevención, en cuanto a si dicha información ha podido estar expuesta y disponible públicamente a través de leaks y para uso ilícito de cualquier usuario.

Realidad

  • Un usuario tipo emplea entre 3 y 4 contraseñas diferentes máximo (con patrones similares), para llevar a cabo todo tipo de registros web y/o almacenar información confidencial.;
  • Casi un 80% reutiliza contraseñas y éstas son débiles;
  • No realiza un cambio periódico de contraseña;
  • No emplea un 2 factor de autenticación (2FA) ni VPN;
  • Se conecta a redes WiFi públicas abiertas;

Esa es la realidad.

ciberseguridad en cadiz

ciberseguridad en cadiz

 

Desde 2013, se han producido un total de 13.443.149.623 datos robados o perdidos, y solo un 4% de las brechas de seguridad disponían de cifrado seguro. Y 5.575.703.782 de direcciones de correo electrónico han sido filtradas.

ciberseguridad en cadiz

¿Quién no dispone de un email que se halle en alguno de los grandes leaks? Adobe, LinkedIn, MySpace, Yahoo, Twitter, Dropbox… Una importante mayoría de sitios webs ya ha sufrido violaciones de seguridad (más del 50% son causadas por ciberataques externos), y lo que aún no las han sufrido es bastante probable que lo hago en un futuro cercano (el RGPD establece que las mismas deben ser comunicadas de forma obligatoria a las autoridades competentes y a los propios afectados en un plazo máximo de 72 horas).

Se estima que un número de tarjeta de crédito tiene un precio de un dólar en el mercado negro, y de 25$ si incluye dirección y email. La fuga de información sufrida por Equifax, con 143 millones de tarjetas de crédito expuestas, superaba los 3.000 millones de dólares.

ciberseguridad en cadiz

 

¿Qué se considera una brecha de seguridad?

El RGPD define las violaciones de seguridad de los datos personales como “todas aquellas violaciones de seguridad (de datos de carácter personal) que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Es decir, entrarían:

  • Accesos no autorizados a bases de datos de una organización que contengan datos de carácter personal, ya sea por medio de personal interno o externo a la misma;
  • Pérdida o robo de dispositivos y/o documentación que contengan información acerca de datos de carácter personal;
  • Borrado accidental, intencionado o alteración de ficheros que contengan datos de carácter personal;
  • Fuga de información de datos de carácter personal por un ciberataque a la infraestructura de la organización;

 


Desde 2013, se han producido un total de 13.443.149.623 datos robados o perdidos, y solo un 4% de las brechas de seguridad disponían de cifrado seguro. Y 5.575.703.782 de direcciones de correo electrónico han sido filtradas.


 

¿Qué es la PII?

PII hace referencia a las siglas de Personally Identifiable Information (Información Personalmente Identificable).

Es un concepto empleado en el ámbito de seguridad de la información. Como sus siglas indican, hace referencia a información que pueda emplearse para identificar, contactar o localizar a un individuo concreto, o junto con otras fuentes de información llegar a poder hacerlo.

Están cobrando gran relevancia con el auge de las TICs y las transformaciones digitales de las organizaciones, que están facilitando la recopilación de dicha información, y también la pérdida o filtración de la misma, así como el uso ilícito que pueden llevar a cabo organizaciones criminales o ciberdelincuentes, llevando a cabo campañas de monetización, suplantaciones de identidad, creación de identidades digitales fraudulentas, campañas de ingeniería social, accesos no autorizados y robo de cuentas

La LOPD define datos de carácter personal cómo “cualquier información concerniente a personas físicas identificadas o identificables”.

Datos de filiación, DNI, número de teléfono, dirección IP, carnet de conducir, número de la seguridad social, número de tarjeta de crédito o cuenta bancaria, matricula de vehículo, sexo, estado civil, edad, nacionalidad, lugar y fecha de nacimiento, firma, hasta una huella dactilar, muestra de ADN, CV, historial médico o laboral, etc. Otros están especialmente protegidos por ley, cómo la ideología (a ver en qué queda esto con la nueva LOPD), raza, religión, creencias y afiliación sindical.

Es posible su clasificación en: datos especialmente protegidos; datos de carácter identificativo; datos relativos a las características personales; datos relativos a las circunstancias sociales; datos académicos y profesionales; detalles laborales; datos que aportan información comercial; datos económicos, financieros y de seguros; y datos relativos a transacciones de bienes y servicios.

 

¿Cómo protegernos ante esta situación?

Hemos expuesto ya lo peligroso que puede ser la filtración de dicha información en leaks, lo que puede llegar a hacer un ciberdelincuente con la misma, su precio en black markets, y lo vulnerable que somos ante dichas situaciones. Y no solo desde el punto de vista personal, también desde el empresarial, ya que muchos usuarios se registran en sitios webs personales o externos a la organización empleando su email corporativo, con el riesgo que puede suponer si la contraseña asociada a ese servicio se ve expuesta y sea la misma que el usuario emplee en su buzón de correo corporativo, en cuanto a fuga de información confidencial y acceso a emails privados.

Por un lado, se hacen más que necesarias mejoras en cuanto a políticas de protección y seguridad de la información, de todos aquellos que alberguen datos personales de usuarios, el cumplimiento del RGPD y LOPD, y la notificación de violaciones de seguridad. Las importantes pérdidas financieras, reputacionales y sanciones, son alguno de los elementos más disuasorios.

Pero dado que ello no está en la mano del usuario, también se deben de tomar precauciones a nivel individual:

  • Empleo de contraseñas robustas y únicas para cada servicio. Es obvio que es algo tedioso para el usuario y no es funcional, por ello es recomendable el uso de gestores de contraseña, como KeePass (Open Soruce), de modo que solo tengamos que recordar una única contraseña (lo más robusta posible), la contraseña maestra, que nos permitirá acceder al baúl del resto de passwords que no tendremos porque recordar.
  • Emplear un segundo factor de autenticación (2FA) en todas aquellas aplicaciones y servicios que nos lo permitan, de modo que si un tercero posee nuestra contraseña, necesitará accede físico a nuestro dispositivo móvil (por ejemplo) para logarse.
  • Proporcionar información personal solo en aquellos sitios webs o plataformas que sean imprescindibles y sean de nuestra absoluta confianza. No proporcionando más allá de la información estrictamente requerida para el registro.
  • Revisar periódicamente si se ha expuesto información personal que nos identifique, empleando, por ejemplo, servicios de alertas (Google Alerts o Talk Walker), o servicios que nos permitan comprobar si determinados datos personales han sido expuestos, como Have I Been Pwned, que nos da la posibilidad de comprobar si nuestro email ha sido filtrado y en qué brecha de seguridad, con lo poder actuar y modificar dicha password, así como comprobar si una determinada contraseña que empleamos ha sido filtrada en alguna ocasión, y pudiendo generar alertas de notificación. O DeHashed, que ofrece funcionalidades similares.

 


Contraseñas únicas y robustas, gestor de contraseñas, 2FA, registro en sitios webs de confianza y revisión periódicas de exposición de nuestros datos en leaks son algunas recomendaciones para proteger nuestros datos personales.


 

Si bien, también podéis optar por nosotros, que notificaremos si cualquier datos personal (no solo el email) ha sido expuesto en leaks. Rastreamos fuentes abiertas y ocultas en busca de información filtrada, redes pastes, black markets… Empleamos APIs de terceros y herramientas propias en busca de credenciales robadas, filtradas o perdidas. Recibe alertas casi en tiempo real cuando se produzca cualquier incidente relacionado con tus datos personales, además de cualquier brecha de seguridad que se produzca (Sky Brasil, Dell o Marriott son algunas de las más recientes).

ciberseguridad en cadiz

También, te ayudamos a eliminar y solicitar el reporte de aquella información no deseada, en buscadores o sitios webs específicos. Contacta ya.

FCD-intelligence, empresa de ciberseguridad en Jerez, Cádiz y Andalucía.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *