Filtraciones masivas de datos: ¿para qué quieren la información los ciberdelincuentes?

Medidas para incrementar la protección de la información.

12/05/2022

Durante el pasado año 2021 se produjeron a nivel global diversas filtraciones masivas que dejaron al descubierto información de millones de personas. La operadora T-Mobile sufrió una brecha de seguridad que provocó la filtración de datos de millones de usuarios, entre los que se incluían nombres, direcciones físicas, números de la seguridad social, etc. Otro hackeo masivo tuvo lugar el pasado mes de octubre, cuando la plataforma Twitch sufrió una filtración de la información financiera relativa a algunos de los streamers que más ingresos perciben por sus interacciones a través de esta plataforma, con detalles de sus ingresos, así como información sobre el código fuente y las herramientas de seguridad de uso interno.

Habitualmente se tiende a pensar que nuestra información, como ciudadanos anónimos, no resulta de interés, pero es un error creer esto. Los ciberdelincuentes ganan dinero con toda la información sustraída, ya que posteriormente la ponen a la venta en foros online o en el mercado negro de la dark web (web oscura) por un alto valor económico. Por ejemplo, cuando recibimos llamadas telefónicas de empresas que no conocemos y a las que no hemos proporcionado nuestros datos y, además de tener nuestros números de teléfono, conocen nuestro nombre, probablemente hayan obtenido esta información comprándola en dichos foros o mercados.

Además de la venta de información, los datos son utilizados en muchas ocasiones para realizar ataques basados en la suplantación de identidad, crear perfiles falsos en páginas web y redes sociales o ejecutar ataques de ingeniería social. Una técnica habitual consiste en contactar con los empleados de una empresa haciéndose pasar por un compañero de trabajo, superior o proveedor para intentar que la víctima proporcione información de la compañía o realice alguna transacción bancaria. Esta estafa es conocida como “Fraude al CEO” y se realiza a través de un correo electrónico en el que el ciberdelincuente suplanta a un directivo de una entidad para solicitar a un empleado del departamento financiero que realice una transferencia confidencial y urgente, a menudo a un banco fuera de Europa, y que no siga los procedimientos de autorización habituales. Al tratarse de transferencias económicas internacionales, se complican considerablemente las operaciones de cancelación y de rastreo. Otra variante del “Fraude al CEO” se basa en enviar un email suplantando al proveedor de servicio de la entidad para comunicar un nuevo número de cuenta donde, a partir de ese momento, se deben realizar los abonos relativos al pago de facturas.

filtraciones masivas de datos

A continuación se exponen algunas medidas para incrementar la protección de la información digital:

- Comprobar que las páginas web comienzan por https para asegurarse de que la información viaja cifrada.

- No utilizar redes wifi públicas si se van a realizar compras online, descargar aplicaciones o introducir datos personales y bancarios en los servicios online.

- Mantener las aplicaciones, el navegador y el sistema operativo de los dispositivos siempre actualizados e instalar y mantener activado un antivirus.

- Configurar adecuadamente los ajustes de privacidad de las redes sociales, no agregar a personas desconocidas y evitar publicar información personal (domicilio, geolocalización en tiempo real, número de teléfono, etc.), así como fotografías o vídeos que puedan resultar comprometedores o perjudiciales para el autor o para terceras personas.

- Crear contraseñas robustas con letras mayúsculas y minúsculas, así como números y símbolos intercalados. En ellas no se deben introducir datos que identifiquen al usuario, como nombre o apellidos, fecha de nacimiento, número de DNI, etc. Las contraseñas han de cambiarse de forma periódica, cada tres meses como máximo.

- Analizar qué información existe en Internet sobre cada uno, práctica conocida como egosurfing, para gestionarla y poder proteger así la identidad digital.

- No proporcionar información personal o sensible a través de correos electrónicos, llamadas telefónicas o SMS que resulten sospechosos o no esperados.

- Recordar que BBVA nunca va a solicitar información confidencial, como claves de acceso a la banca online o códigos de un solo uso (OTP), a través de mensajes SMS o correos electrónicos. Los mensajes SMS que BBVA envía no contienen enlaces; si se recibe alguno que incluya un link, aunque aparezca en el hilo de BBVA, es falso.

- Contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través del número de teléfono gratuito 017 para recibir ayuda en caso de sufrir un incidente de seguridad o para realizar alguna consulta. Si el incidente está relacionado con las cuentas o tarjetas de BBVA, contactar con el banco en el 900 102 801.