REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Confidencialidad de la información

 

El 7 de septiembre se reportó un evento catastrófico para millones de personas del país vecino del Norte. Uno de los principales burós de crédito de los Estados Unidos, Equifax, informó que la información de más de 145 millones de ciudadanos (incluyendo residentes del Reino Unido y Canadá) había sido comprometida en un ataque que, según las últimas investigaciones, duró más de dos meses sin ser detectado y tardó otros dos en ser reportado al público (Gutzmer, 2017). Equifax cometió aún más errores, el más notorio al liberar un sitio donde los consumidores podrían verificar si estaban o no afectados, y entregando información aparentemente aleatoria, generando aún más dudas sobre su sistema de seguridad.

Este ataque es uno de los más notables entre decenas que se han reportado en el año, algunos de los cuales son:

  • Un intento de extorsión a Bell Canada que culminó con la filtración de los registros de 1.9 millones de clientes de la compañía (Sharp, 2017).
  • Ataques a dos grandes empresas en la industria de la hospitalidad, IHG (administradora de hoteles como Holiday Inn) (IHG, 2017) y Sabre (cuyo SynXis es usado por más de 32,000 hoteles) (Krebs, 2017).

Aunque a primera vista esto se trata de un año más en la seguridad informática, lo interesante es la tendencia al “gran golpe” que los atacantes han perseguido. El ISTR de Symantec  reporta, en su edición 2017, un promedio de 1314 incidentes de divulgación de información por año en el periodo de 2014-2016 (Symantec, 2017). El número de incidentes que involucran la divulgación de más de 10 millones de identidades va al alza, de 11 en 2014 a 13 en 2015, y a 15 en 2016.

El de Equifax es uno de los más grandes incidentes, no solo por la cantidad de personas afectada (145 millones), sino también por su sensibilidad. Además de información como nombre completo, fecha de cumpleaños y dirección postal, la compañía indica la divulgación de números de Seguridad Social. En el contexto de los Estados Unidos, este número es crítico para la vida de las personas. El SSN (por las siglas en inglés de Social Security Number) es utilizado no solo como referencia, sino como un token (un secreto que solo el interesado debe conocer) para toda serie de procesos: apertura de créditos bancarios, atención médica, declaraciones de impuestos, incluso el procesamiento de sentencias criminales.

Un atacante que tiene acceso al SSN de una persona (en conjunto con su fecha de nacimiento y su nombre completo) tiene la habilidad de trastornar completamente la vida de esa persona,  aprovechando todos los beneficios, financieros y demás, y al mismo tiempo arruinar su historial médico, crediticio y hasta criminal.

Ante estos acontecimientos es importante hacernos la pregunta: ¿podemos aún confiar en nuestro derecho a la privacidad? ¿O, acaso, debemos prepararnos para una vida sin confidencialidad de la información?

Ciertamente la pregunta no es nueva. Llevamos años preguntándonos esto a raíz de la cantidad de información personal y confidencial que confiamos voluntaria e innecesariamente a múltiples compañías: Google, Facebook y Apple, por mencionar algunas de las más reconocidas. Sin embargo, este es un cuestionamiento más social y cultural: ¿Debemos dar esta información? Y otro, uno más práctico: ¿vivimos en una era donde la privacidad, simplemente, ya no existe?

Consideremos la pregunta. Cuando entregamos nuestra información, a través de fotos, chats y videos, a una compañía como Facebook, estamos eligiendo entregarla al mundo. Es debatible si estamos debidamente informados del alcance de esta decisión, pero es una decisión. Cuando entregamos nuestra información a una compañía como Equifax (o, en México, al Buró de Crédito), lo hacemos como una obligación inevitable, y cuya alternativa es imposibilitarnos la vida financiera, en el contexto actual. No existe una verdadera elección. Cierto, aceptamos expresamente firmando algún formato, porque la opción es no contar con un instrumento financiero, imprescindible para la mayoría de nosotros. Cuando viajamos al extranjero, los agentes aduanales (de ida y de regreso) registran estos movimientos, preguntan detalles (que son también debidamente registrados) y están, en el caso de países como Estados Unidos, en libertad de revisar nuestro historial financiero, escolar, laboral, y hasta de redes sociales (Harrington, 2017). La opción, por supuesto, es no viajar.

Estos registros, como cualquier información digital, son prácticamente inmortales. En 2015, el Instituto Nacional de Acceso a la Información inició un proceso legal en contra de Google México (aunque es imposible atacar a Google como empresa internacional, pues cae fuera de la jurisdicción mexicana), debido a que el empresario Carlos Sánchez de la Peña no había podido ejercer su “derecho al olvido”, entrecomillado porque esto no existe en la legislación nacional. En esencia, el Sr. Sánchez quería que un reportaje que lo implicaba en presuntos actos de corrupción fuera borrado de los resultados de búsqueda de Google.

Este caso (que acabó perdiendo el INAI y el Sr. Sánchez) es una mera continuación de las demandas que se han presentado por años contra blogs, publicaciones digitales, y cualquier otro sitio web, y sufre del mismo problema: aún ganando la batalla legal, los contenidos son reproducidos en sitios web, bajo diferentes jurisdicciones, dispersándose tan rápido que es imposible detener su difusión, y en la mayoría de los casos, aumentando notablemente la exposición inicial. En el caso del Sr. Sánchez, en vez de suprimir la información, solo logró que más personas conocieran sobre sus presuntos nexos de corrupción. Como lo indica el personaje de Erica Albright en la película de Red social, “El Internet no se escribe a lápiz, Mark. Se escribe con tinta.”

El problema, entonces, no es nuevo. El registro de actividades es tan viejo como la escritura; la digitalización de registros surge con la creación de medios digitales, y la interconexión de equipos a través de Internet tiene ya más de 30 años. Maleantes han existido desde que existe la humanidad. Entonces, ¿cuál es la diferencia?

La primera y más clara es que el alcance de estos ataques se ha expandido con el tiempo. La consolidación de empresas, y por ende, de información codiciable, la disponibilidad de mayores anchos de banda y espacios de almacenamiento, la anonimidad de transacciones financieras utilizando criptomonedas, y la amplia disponibilidad de armamento digital han facilitado una transición al contexto actual (Siegel; Perlroth; 2017).

La segunda es el apreciamiento del valor de la información, dado el beneficio tangible que un atacante puede obtener de una divulgación, además del severo daño que esto causa a la víctima. Una identidad robada puede utilizarse directamente para la obtención de créditos a nombre del afectado, obteniendo cualquier número de beneficios en perjuicio de la víctima; si el atacante no desea correr este riesgo, puede vender el lote de identidades robadas, obteniendo aproximadamente $1 dólar por pieza (Symantec, 2017).

Y si piensas que en México somos ajenos a este tipo de divulgaciones, te informamos que apenas hace dos años se descubrió una base con los datos de los 93.4 millones de votantes registrados ante el INE, en un servidor disponible al público, ubicado en el extranjero (Vickery, 2016).

¿Qué podemos hacer?

Ante este panorama, es pertinente preguntarse qué medidas preventivas se pueden tomar. La solución no es fácil ni rápida. Así como la transición a este contexto ha implicado a múltiples actores en un periodo extendido, también así será la respuesta social ante este cambio.

Podemos mirar el caso de Equifax y aprender de sus resultados. Los millones de afectados están conociendo herramientas que permiten el monitoreo y congelamiento de crédito para hacer frente al robo de su información, y para prevenir algún robo de identidad posterior. Informarse con anticipación de las soluciones proactivas ante alguna divulgación es buena estrategia. En México, en particular, una excelente herramienta son los reportes de crédito gratuitos (uno por año) que ofrece el Buró de Crédito, donde podemos detectar algún crédito que no haya sido solicitado por nosotros, y tomar acción. El encargado de resolver una contratación apócrifa a nuestro nombre, en México, es la Procuraduría Federal del Consumidor. Y una mala nota en el historial crediticio como resultado de un fraude de identidad puede resolverse ante las Sociedades de Información Crediticia (Círculo de Crédito y Buró de Crédito).

En el ámbito organizacional, existen soluciones que se encargan de clasificar y restringir el acceso a la información con base en dicha clasificación. Estas soluciones, conocidas como DLP (Data Loss Prevention) son altamente personalizadas a la institución, y suelen estar fundamentadas en la otra mejor alternativa en el ámbito organizacional: políticas de seguridad. Dentro de estas, podemos establecer controles adicionales, aunque una sólida política de clasificación de información y limitación de dispositivos personales (para evitar fugas de información) sigue siendo la mejor estrategia.

Pero, sobre todo, conviene estar consciente de los riesgos que corremos para tomar precauciones: debemos saber quién posee nuestra información, qué datos tiene, y qué podría pasar si son divulgados. Este proceso, mitad investigación y mitad reflexión personal, es la mejor arma con la que contamos actualmente, y podría ser la diferencia entre sufrir una afectación personal o superar el incidente sin problemas, cuando la próxima noticia de un ataque informático llegue a nuestros oídos.

Referencias:

3D. (2016). Tribunal anula resolución del INAI sobre el falso “derecho al olvido”. Recuperado el 1 de febrero de 2018, de https://r3d.mx/2016/08/24/amparo-inai-derecho-olvido/

Crowe, J. (2017, 6 de mayo). WannaCry Ransomware Statistics: The Numbers Behind the Outbreak. Recuperado 1 de febrero, 2018, de https://blog.barkly.com/wannacry-ransomware-statistics-2017

Gutzmer, I. (2017, 26 de septiembre). Equifax Announces Cybersecurity Incident Involving Consumer Information. Recuperado el 1 de febrero de 2018, de https://www.equifaxsecurity2017.com/2017/09/07/equifax-announces-cybersecurity-incident-involving-consumer-information/

Harrington, R. (2017, 13 de septiembre). Federal agents can search your phone at the US border - here's how to protect your personal information. Recuperado el 7 de febrero de 2018, de http://www.businessinsider.com/can-us-border-agents-search-your-phone-at-the-airport-2017-2

IHG InterContinental Hotels Group. (2017, 3 de febrero). IHG® Notifies Guests of Payment Card Incident at 12 Properties in the Americas. Recuperado 1 de febrero, 2018, de https://www.prnewswire.com/news-releases/ihg-notifies-guests-of-payment-card-incident-at-12-properties-in-the-americas-300401996.html

Krebs, B. (2017, 2 de mayo). Breach at Sabre Corp.’s Hospitality Unit. Recuperado 1 de febrero, 2018, de https://krebsonsecurity.com/2017/05/breach-at-sabre-corp-s-hospitality-unit/

Sharp, A. (2017, 17 de mayo). Canada's Bell says it ignored hackers payment demands, some info leake. Recuperado 1 de febrero, 2018, de https://ca.reuters.com/article/domesticNews/idCAKCN18C1PX-OCADN

Siegel, R., & Perlroth, N. (2017, 29 de junio). Shadow Brokers Group Leaks Stolen National Security Agency Hacking Tools. Recuperado 1 de febrero, 2018, de https://www.npr.org/2017/06/29/534916031/shadow-brokers-group-leaks-stolen-national-security-agency-hacking-tools. En Agosto de 2016 un grupo puso a la venta herramientas de la NSA (National Security Agency de los Estados Unidos) para vulnerar y tomar control de equipos de cómputo.

Symantec. (2017) 2017 Internet Security Threat Report. Recuperado el 1 de febrero de 2017, de  https://www.symantec.com/security-center/threat-report

Vickery, C. (2016, 22 de abril). BREAKING: Massive Breach of Mexican Voter Data. Recuperado 1 de febrero, 2018, de https://mackeeper.com/blog/post/217-breaking-massive-data-breach-of-mexican-voter-data

Si quieres saber más, consulta:

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2018.