Cada año, millones de personas son víctimas de numerosas violaciones de datos, según Kaspersky Lab. Los resultados de estos robos son muy negativos: los hackers venden la información bancaria de los usuarios en páginas web ilegales, las empresas tienen que pagar enormes sumas de dinero para reparar una pérdida a sus clientes y los consumidores pierden dinero.
Kaspersky Lab ha recogido los casos de violación de datos más importantes de 2014, que provocaron la fuga de información personal de algunos clientes, y ha añadido algunos hechos interesantes sobre el precio de estos datos y la reputación corporativa.
Minoristas en peligro
Las grandes redes minoristas son un verdadero “premio” para los hackers, ya que almacenan millones de registros con datos de clientes. Y el año 2014 no fue una excepción en cuanto a ciberataques. Parece ser – aunque no se sabe con exactitud – que un mismo grupo hackeó tres grandes redes minoristas: el gigante Target, al que robaron 70 millones de archivos con datos bancarios, números de teléfono, correos electrónicos y otros datos, el proveedor de productos de belleza Sally Beauty – con 25.000 datos robados – y el minorista de productos para el hogar Home Depot, al que robaron los datos bancarios de 56 millones de tarjetas y 53 millones de correos electrónicos.
El caso de la violación de datos a Sally Beauty dio un giro inesperado cuando los propios hackers fueron, a su vez, hackeados. Los datos robados se pusieron a la venta en varias páginas web del mercado negro. Poco después, alguien las hackeó y transformó una de las páginas. El “hacker bueno” dejó un mensaje y un video de la película Los Hombres de Negro en la página de inicio de la web.
Sony Pictures, Barclays, Orange, eBay, o Dropbox, entre otros, sufrieron un robo de datos en 2014
Hubo otra filtración de datos privados en el sector de la venta al por menor de la cual se habló mucho: la violación masiva de los datos de acceso y las contraseñas de eBay, que afectó a 145 millones de usuarios. Como consecuencia, la empresa tiene que hacer frente a una demanda legal colectiva.
Nadie está a salvo
Los bancos, las compañías puntocom, los fabricantes de equipos, las empresas de telecomunicaciones y los organismos gubernamentales, en realidad todas están en peligro, incluso Sony Pictures ha sufrido una importante violación de datos y son muchas las celebrities de las que se han filtrado fotos en 2014, pero son muchísimos más los casos que existen.
Los bancos de todo el mundo se vieron comprometidos por hackers. Durante el primer mes del año se filtraron los datos bancarios de 20 millones de clientes desde el Korea Credit Bureau, con la ayuda de un empleado del banco. En febrero, el banco británico Barclays fue atacado: 27.000 archivos fueron robados y vendidos. Como resultado, la credibilidad del banco se desplomó y tuvo que indemnizar a miles de clientes cuyos datos habían sido vendidos en el mercado negro.
En junio, los datos privados de 80 millones de clientes del banco estadounidense JP Morgan también se vieron comprometidos. El banco guardó silencio durante varios meses y no fue hasta octubre de 2014 cuando informó del incidente.
Los archivos con datos de usuarios del servicio de aparcamiento Park ‘N Fly del aeropuerto se vendieron entre 6 y 9 dólares por archivo
Como consecuencia de un hackeo importantísimo que provocó la exposición de los datos de 27 millones de clientes – un 80 % de la población del país – las autoridades de Corea del Sur están evaluando la posibilidad de rediseñar completamente el sistema numérico informático de los documentos de identidad nacional.
Las empresas de telecomunicaciones también tuvieron un año difícil. Orange, el grupo francés de telecomunicaciones, fue hackeado dos veces en el primer trimestre de 2014 y en total le robaron los datos de 1,3 millones de usuarios. Lo peor de todo fue que los hackers comprometieron una plataforma de software que la empresa utiliza para enviar correos electrónicos promocionales y mensajes de texto a los clientes que habían aceptado recibirlos. Seguro que después de esto mucha gente se lo va a pensar dos veces antes de suscribirse.
En octubre, AT&T tuvo que despedir a un empleado demasiado curioso que obtuvo información de forma inapropiada de las cuentas de 1.600 clientes y podría haber visto sus números de la Seguridad Social y del carnet de conducir.
En octubre, la mala suerte alcanzó a Dropbox, el servicio de almacenamiento de archivos en la nube. Los archivos de siete millones de usuarios se filtraron en la web. La empresa afirmó que los datos de inicio de sesión se filtraron a través de páginas web de terceros o aplicaciones. No importa cuánto se esfuercen las empresas en proteger sus servidores mientras que los usuarios no comprendan que, combinaciones como ‘123456’, no son seguras y continúen siendo las más utilizadas.
¿Cuánto valen los datos?
Para Kaspersky Lab, aunque todo el mundo compra y vende información, el precio de un archivo concreto es relativamente bajo. Por ejemplo, los archivos con datos de usuarios del servicio de aparcamiento Park ‘N Fly del aeropuerto, se vendieron por entre 6 y 9 dólares por archivo, e incluían el número de tarjeta, la fecha de caducidad, el código de verificación, así como el nombre, la dirección y el teléfono del titular. Los datos bancarios de los clientes de Barclays tenían un precio más elevado, hasta 76 dólares por archivo.
El precio de la reputación es un poco más alto, especialmente cuando te enfrentas a un juicio. Barclays ofreció 770 dólares en concepto de indemnización a aquellos clientes cuyos datos se habían filtrado, pero muchos de ellos lo consideraron “insuficiente”. El banco tuvo que duplicar algunas de las ofertas a los clientes que se quejaron y pedían más. Algunos de ellos fueron compensados con hasta 1.520 dólares.
Cualquier política de seguridad empresarial es tan fuerte como el conocimiento que tengan los empleados de seguridad TI
Además de la compensación, existen otros gastos asociados a una violación de datos. Por ejemplo, Home Depot invirtió en un trimestre 43 millones de dólares para gestionar la fuga de información. El dinero se gastó en investigaciones, en ofrecerles a los consumidores un servicio de protección de robo de identidad, en aumentar la plantilla del centro de atención telefónica y otros servicios legales y profesionales.
Cualquier política de seguridad empresarial es tan fuerte como el conocimiento que tengan los empleados de seguridad TI. Crear una ‘cultura interna de seguridad’, con énfasis en un comportamiento sensato on-line y reforzada por un entrenamiento regular, es una inversión esencial para las empresas que manejan información financiera sensible.