El usuario final, principal víctima de las grandes fugas de información

Tomamos medidas de seguridad para operar a través de banca online, utilizamos servicios de webs confiables y plataformas de pago seguras, aportamos datos personales solo en webs con su correspondiente capa de cifrado SSL/TLS, etc. Un día, recibimos una carta de Hacienda reclamándonos 600 euros correspondientes a unas ganancias obtenidas a través de una página de juego online que debíamos haber tributado. No has jugado en esa web en la vida ¿Cómo es posible?

El 2016 ha confirmado que las vulnerabilidades en los sistemas de información de las grandes empresas no hacen más que aumentar. Estoy segura que muchos pensarán que la empresa hackeada es la mayor damnificada. Pues no ¿Alguien se apresura a comprobar si las cuentas que posee registradas con ese servicio se han visto afectadas?

Primer problema. Dado que en España y en otros muchos países no hay obligación de reportar los incidentes de seguridad (hasta que entre en vigor el Reglamento Europeo de Protección de Datos en 2018) o se escondan deliberadamente las fugas de información por temor al daño reputacional y prefieran las elevadas sanciones económicas por protección de datos, es probable que las cuentas y contraseñas de los usuarios de un determinado servicio, estén expuestas en los mercados underground, pastebin o la deep web, pululando por la red unos cuantos meses sin que nosotros lo sepamos.

 

INDICIOS QUE TE PUEDEN HACER PENSAR QUE TU CUENTA HA SIDO HACKEADA

  • Aparición de contactos nuevos desconocidos.
  • Inicios de sesión inesperados.
  • Cargos en cuentas bancarias por compras de bienes o servicios que no hemos consumido, con mayor probabilidad en webs extranjeras como tecnología, viajes, y productos de precio elevado.
  • Altas en compañías de telefonía y proveedores de servicio de internet.
  • Deudas por impuestos o comisiones impagadas por beneficios en páginas en las que nunca hemos operado como webs de juego online.
  • Avisos por nuevos registros o altas en sitios web desconocidos o servicios desconocidos como páginas de citas, sexo o pornografía.
  • Campañas de publicidad, estrategia comercial o líneas de negocio que formaban parte de nuestra información confidencial empresarial y que, sin saber por qué, son ahora la lanza de la estrategia comercial de otras empresas.
  • Información confidencial que ha sido publicada sin nuestra autorización, sobre todo si somos objetivos atractivos (y no me refiero al físico).
  • Fotos personales de carácter íntimo o personal que nunca has publicado.
  • Robo de documentos oficiales escaneados como el DNI, detalles y facturas bancarias u otros documentos que habitualmente necesitamos mandar a través de email para justificar o dar de alta un servicio.
  • Pérdida de los perfiles personales en redes sociales o accesos no autorizados porque nos han cambiado las contraseñas.

 

¿De dónde proviene toda esta actividad sospechosa? Houston, tenemos un problema

Todos estos indicios anticipan dos posibles escenarios. Primero. Has cometido alguna imprudencia o te han pillado con la guardia baja en alguna web en la que has tenido que introducir tu cuenta y contraseña, de tipo phishing, pharming o algún malware, siendo en realidad una web fraudulenta.

Conocido phishing de la renta

Segundo. Un acceso no autorizado a la base de datos de un gran proveedor de servicios como Dropbox, Yahoo, Gmail, Twitter, Spotify, Netflix o de alguno de los casos que hemos conocido durante el año y que son la antesala de un anuncio posterior (cuando por presión mediática o cuestión reputacional se vean obligadas a hacerlo) de un hackeo y posterior fuga masiva de datos personales.

 

¿Y ahora qué? Lo siento, la empresa te ha dejado vendid@.

Dos años después de haber sufrido el robo de información de tus cuentas, expuestas y vendidas por packs durante ese tiempo en los mercados underground de la Red, la empresa, diplomáticamente, publicará unas “pautas de seguridad” a seguir con tu cuenta.

Cambia las contraseñas, establece el doble factor de autentificación con otro email, un token o un número de teléfono, etc.” Buena suerte y buenas noches.

Anuncio publicado por Twitter tras sufrir una fuga de 23 millones de cuentas

 

¿Y qué pasa con alguno de esos cargos que has recibido? Quién se responsabiliza de ellos? ¿Quién le justifica a Hacienda que tu no has sido el usuario que ganó 2000 euros en tres días jugando al póker online?

Me temo que no existe forma. Habría que pedir las conexiones desde las cuales se dieron de alta dichos servicios y comprobar que se hicieron desde localizaciones dispares a las que sueles emplear. No obstante, sabiendo que podemos configurar nuestra conexión para adoptar una dirección de cualquier lugar del mundo estando en nuestras casas, tampoco es un indicio para exculparte de la activi

dad supuesta que se te atribuye ¿Quién le dice a la empresa que recibió el encargo del servicio que no fuiste tú desde otra conexión? Sí, el hecho de que las empresas no comuniquen el robo de información para que podamos anticiparnos a posibles consecuencias como las que os he marcado en la lista, nos hace un flaco favor.

En todo caso, te recomiendo que interpongas una denuncia si quieres que se practiquen las gestiones oportunas (que no garantizan una identificación) para saber quién puede estar detrás de los hechos. No obstante, en el caso de que se llegara determinar el origen de dichas compras o altas, no serán los autores del robo inicial de la información sino meros intermediarios que han comprado tus datos en los mercados underground mientras la fuga permanecía oculta por la empresa.

Web donde puedes comprobar si tu cuenta ha sido robada https://hesidohackeado.com/

 

Si tu caso se encuentra en la lista que hemos nombrado o similar.

  • No esperes a denunciar (con el fin de intentar llegar a los autores) aunque es probable que no te exima de acarrear con el gasto ilícito.
  • Revisa el resto de cuentas y contraseñas de otros servicios, posibles movimientos sospechosos y cambia las passwords.
  • Introduce tus cuentas en el servicio https://hesidohackeado.com/ para comprobar si tus cuentas robadas han sido indexadas por estos sitios y figuras, desgraciadamente, en sus listados.
  • Puedes tener claves vinculadas a otros servicios como Amazon o con la misma contraseña y el destrozo puede ser aún mayor.
  • Y por último, haz caso al consejo que te ha dado la empresa. Securiza tu cuenta y establece un doble factor de autentificación.

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies