Marriott Internacional, Equifax, Aadhaar… Estos son solo algunos ejemplos de las filtraciones de datos más importantes de los últimos 10 años. Si bien pueden parecer lejanas geográficamente —en una de ellas, se expuso la información de casi el 50 por ciento de los ciudadanos de Estados Unidos y, en la otra, ocurrió la filtración de datos del 90 por ciento de la población de India— este tipo de filtraciones son muy comunes en nuestra región y nos afectan de una manera tan impensada como peligrosa.
A continuación, repasaremos con ejemplos reales cómo una filtración de datos que podría parecer inofensiva puede conectarse con nuestra vida digital y cotidiana y ponerla en riesgo.
Un lugar reservado para la estafa
El viajar puede no siempre ser un placer: un usuario que reservó un alojamiento a través de Booking para pasar unos días de relax en Barcelona, compartió en su blog una experiencia que casi termina en estafa por culpa de una filtración de datos. ¿Qué fue lo que pasó?
En enero de 2023, había reservado un departamento y pagado por adelantado. Unos días antes de su ingreso, recibió un mensaje por WhatsApp de quien aducía ser administradora del alojamiento que le informaba sobre un problema con el pago. Supuestamente, el banco lo había rechazado por un control antifraude. El mensaje también incluía la solución: un link para realizarlo nuevamente.
Tras verificar los movimientos de su tarjeta y comprobar que el pago se encontraba procesado correctamente, se lo informó a la supuesta administradora y la instó a seguir la conversación por la plataforma donde había hecho la reserva, Booking. Pero no tuvo respuesta.
Se comunicó entonces con el hospedaje real, a través de la plataforma, y allí le confirmaron que la reserva estaba en orden y el pago procesado; y que lo más probable era que el mensaje que había recibido por WhastApp haya sido producto de una importante filtración de datos que había sufrido Booking. Los estafadores tenían el número de teléfono de la víctima, su nombre completo, información de la propiedad, fechas de la estadía y el importe exacto por el total de la reserva.
El registro de un contenido comprometedor
El RENAPER (Registro Nacional de las Personas), organismo que se encarga de realizar la identificación y registrar a los ciudadanos con domicilio en Argentina, sufrió una importante brecha de datos en el 2021. Entre la información filtrada se destacaron fecha de nacimiento, foto carnet, números de trámite y DNI de miles de personas.
Las consecuencias de este suceso se empezaron a vislumbrar unos años después, cuando comenzó a circular una campaña de extorsión que incluía no solamente la información personal de los destinatarios —como el DNI— sino también una amenaza de filtrar un supuesto contenido comprometedor si no se efectuaba un pago.
El correo intentaba hacer creer a la víctima que la computadora fue infectada con un spyware (malware para espiar), por lo que el ciberatacante tenía en su poder un video comprometedor que divulgaría a menos que se le pague la “módica” suma de 650 dólares en Bitcoin.
Lo cierto es que no existe tal infección con malware, ni los cibercriminales tienen acceso a la computadora, ni mucho menos hay un video comprometedor o detalles de la actividad que se realiza en el equipo.
Probablemente por el sentido de urgencia y la preocupación, hubo víctimas que pagaron, dado que se registraron transacciones por 1.709 dólares en Bitcoin.
Un pago muy alto por una filtración
Los ciudadanos de Chile, en junio de 2019, se despertaron con la noticia de que se habían filtrado los datos de más de 40.000 tarjetas. La Comisión para el Mercado Financiero (CMF) comunicó, en ese entonces, que Redbanc —la empresa que administra la red de cajeros automáticos de ese país— había sufrido una brecha de los datos de exactamente 41.593 tarjetas de crédito y débito, tanto de emisores bancarios como de no bancarios.
Como consecuencia, y antes de que RedBanc pudiera implementar las medidas de contención, se registraron al menos 82 casos de transacciones fraudulentas, usando estos datos filtrados.
¿Qué puede hacer un ciberatacante con nuestros datos personales y financieros?
Estos que compartimos son solo algunos de los casos que afectaron a Latinoamérica en los últimos años, y muestran hasta dónde puede calar el impacto de una filtración de datos.
En resumen, estas son las acciones que los atacantes pueden realizar para obtener un rédito, cuando tienen nuestra dirección de correo electrónico y datos personales o financieros nuestros:
Campaña de phishing
Los cibercriminales pueden hacer más verídica una campaña de suplantación de identidad, más conocida como phishing, en la que se induce a la víctima a hacer click en un enlace falso, con el objetivo de robar credenciales de acceso o datos financieros, o descargar malware.
Campañas de extorsión
En este tipo de campañas, los atacantes utilizan nuestra información para, a través la ingeniería social, enviar correos electrónicos que presenten algún dato personal o privado para luego solicitar una suma de dinero para evitar la divulgación de la información.
Fraudes financieros
La obtención de contraseñas y datos financieros por parte de los ciberdelincuentes puede derivar en actividades fraudulentas. En el caso de los datos financieros se utilizan para realizar compras a nombre del titular o para comercializarlos en el mercado negro. En el caso de las contraseñas se utilizan para acceder al servicio o aplicación con fines malintencionados, así como intentar ingresar a otros servicios probando si el usuario reutilizó la misma combinación o con pocas variaciones en otra cuenta.
Consejos ante una brecha de información
Como te mostramos, es importante que nunca desestimes una brecha de información. En el caso de que tus datos hayan sido expuestos, ten en cuenta qué es lo que puedes hacer para minimizar el impacto:
- Prestar mayor atención a correos inesperados de remitentes supuestamente conocidos, y sobre todo si tienen un asunto urgente.
- Cambiar tus contraseñas y accesos a cuentas.
- Comunicarte con tus entidades financieras para congelar preventivamente tus cuentas y tarjetas asociadas.
- Revisar las transacciones para denunciar las que no reconozcas.