Republicamos este reportaje de Marta Beltrán publicado originalmente en The Conversation el 7 de abril de 2021.
La expresión brecha de datos se ve casi todos los días en los medios de comunicación. Se refiere a situaciones en las que los datos que le hemos proporcionado a un proveedor de servicios acaban estando disponibles para un tercero que, en principio, no debería haber tenido acceso a ellos.
Cuando estos datos son personales, la brecha tiene una importancia mayor, ya que cualquier situación en la que información relativa a una persona física viva identificada o identificable acabe en manos de una persona o grupo de personas no autorizadas puede implicar amenazas para su privacidad.
Dentro de los datos personales unos son más sensibles o críticos que otros. No es lo mismo nuestro nombre, apellidos o dirección, por ejemplo, que nuestro número de teléfono, número de la Seguridad Social, número de cuenta bancaria o genoma, si nos vamos al extremo.
La última brecha de Facebook
Estos días se habla mucho de una brecha en la que se han filtrado datos personales de más de 500 millones de usuarios de Facebook, de los cuales alrededor de unos once millones son usuarios españoles. Los datos que se han publicado incluyen nombre y apellidos, dirección, fecha de nacimiento, ID en Facebook, número de teléfono y en algunos casos, dirección de correo electrónico. Es decir, se trata de datos personales.
Estos datos fueron filtrados de la compañía en el año 2019 por culpa de una vulnerabilidad de seguridad que aseguran que fue remediada en cuanto se descubrió. Parece ser que esta base de datos con los datos extraídos se ha ido vendiendo en el mercado negro de datos desde entonces, hasta que este fin de semana se ha publicado en un foro de manera gratuita.
Hay que tener en cuenta que los datos ya tienen dos años, pero que en muchos casos seguirán siendo válidos ya que no cambiamos tan a menudo de número de teléfono o de dirección de correo electrónico.
Otro aspecto importante es que parece que ni en 2019 ni ahora Facebook se ha molestado en notificar a los usuarios afectados esta brecha ni en proporcionarles ningún tipo de detalle acerca de la misma.
¿Son frecuentes las brechas de datos?
Por desgracia, si las brechas de datos están a la orden del día en los medios de comunicación es porque prácticamente no hay día en el que no conozcamos una nueva. Los casos recientes de Facebook, Twitter, Microsoft, CapitalOne, Marriott, Equifax, Zoom, Spotify o Nintendo han sido muy sonados. Pero ningún tamaño de compañía (grandes, medianas o pequeñas) ni sector (tecnológicas, hostelería, aviación, banca, administración) se libra. Solo en 2020 se notificaron cerca de 4 000 brechas de datos en las que se fugaron 37 billones de registros de datos, un 141 % más que en 2019.
Que se conozca cuándo se producen las brechas es positivo: todos los usuarios afectados deben saberlo lo antes posible para poder tomar las medidas oportunas. De hecho, casi todas las regulaciones en privacidad y protección de datos inciden en este punto: si los proveedores que almacenan nuestros datos personales sufren una brecha, están obligados a notificarlo, tanto a los usuarios afectados como a las autoridades de control oportunas.
Por ejemplo, en el caso de España, deben avisar a la Agencia Española de Protección de Datos. Y deben hacerlo proporcionando toda la información (nada de comunicados vagos y genéricos en los que no se entiende nada) y en un plazo corto de tiempo (como mucho 72 horas). No es serio que la notificación llegue 6 meses después, cuando un medio de comunicación publica alguna noticia sobre la brecha y no queda más remedio.
El negocio de los datos
Lo que no es tan positivo es que se produzcan tan a menudo. ¿Por qué las brechas de datos se han convertido en una de las amenazas a la seguridad más graves hoy en día? ¿Por qué son cada vez más frecuentes y afectan cada vez a un número mayor de usuarios? Porque los datos personales son la base de muchos modelos de negocio en la actualidad, tanto lícitos como ilícitos.
En los últimos años se ha extendido mucho el concepto de economía de la vigilancia para referirse a la situación actual en la que los datos personales de los usuarios son una mercancía más sujeta a la compra y a la venta. En el momento en el que este tipo de información se mercantiliza y tiene un valor, diferentes agentes, como proveedores de servicios o de aplicaciones o propietarios de diferentes tipos de recursos, tienen interés en vigilarnos de diferentes maneras para obtener todos los datos posibles sobre nosotros y nuestros hábitos, gustos, rutinas, etc.
La recopilación y el tratamiento de estos datos puede tener ventajas para los usuarios, ya que los servicios que consumen se pueden personalizar según sus necesidades. Pero obviamente, también tiene sus riesgos, sobre todo para la privacidad. Los usos legales que los proveedores hacen de estos datos pueden tener beneficiosos para ellos (comerciales), pero no para los usuarios.
Además, estos datos se tienen que almacenar en algún sitio y no siempre están lo suficientemente protegidos. Si un tercero, por culpa de una vulnerabilidad de seguridad, termina accediendo a ellos, se abren las puertas a todo tipo de usos ilícitos o ilegales.
Los datos robados en estas brechas suelen ser la base para ataques de ingeniería social, campañas de phishing o de smishing personalizadas, por ejemplo. También para ataques a cuentas bancarias o a tarjetas de crédito. O para ataques de suplantación, de manera que alguien pueda hacerse pasar por el usuario legítimo (la víctima), gracias a los datos robados en la brecha, en cualquier servicio o aplicación.
¿Cómo afecta esto a los usuarios?
En el caso concreto de Facebook, lo primero que podemos hacer es comprobar si somos una de las víctimas, ya que la compañía no se ha encargado de realizar las notificaciones oportunas. Los datos involucrados en la brecha se pueden consultar en diferentes sitios públicos en internet.
Muchos usuarios han suspirado aliviados al comprobar que se han visto afectados pero que en esta brecha no se han visto involucradas las contraseñas de sus cuentas. Pero el hecho de que las claves no se hayan visto involucradas no significa que la brecha no sea grave.
Como comentábamos antes, los datos personales pueden utilizarse como base para muchos ataques diferentes. Así que no está de más modificar la contraseña de la cuenta de Facebook, revisar el resto de contraseñas (que no se basen en datos personales, que no se reutilicen), no confiar en correos electrónicos o en SMS que parezcan personalizados y legítimos (porque se menciona nuestro nombre, apellidos, dirección o fecha de nacimiento) y no utilizar el SMS como un segundo factor de autenticación en servicios que sean críticos para nosotros (porque con el número de teléfono y su asociación al resto de nuestros datos personales, es más fácil realizar ataques de suplantación).
En general, si nos vemos involucrados en cualquier otra brecha de datos, las recomendaciones serían las mismas. Primero, enterarnos de si somos una de las víctimas (lo ideal es que nos lo notifique el proveedor, claro). Y a continuación, tomar todas estas medidas y, obviamente, si en la brecha de datos se ha comprometido nuestra contraseña, modificarla en la plataforma en cuestión y en cualquier otra donde usásemos la misma o una variación.