Millones de datos robados en un solo ciberataque

Los ciberdelincuentes parecen ir siempre dos pasos por delante de los sistemas de ciberseguridad que se diseñan para proteger al usuario de campañas de “phishing” (suplantación de identidad) cada vez más sofisticadas y eficientes gracias a la IA generativa; el robo de datos; la ciberestafa y otros ciberdelitos. Por ello, los especialistas en informática no se cansan en insistir en la necesidad de concienciar a la población sobre la importancia que tiene sus datos personales y de formarla para que sepa cómo protegerlos ante posibles ciberataques. Pero, ¿cómo proteger los datos que se facilitan a terceros?

El ataque cibernético sufrido por el Consorcio Regional de Transportes de Madrid, con evidencias de la extracción de información de bases de datos de titulares de tarjetas de transporte público de la comunidad madrileña con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, entre otros) y de ventas de títulos de transporte, pone de manifiesto que los ciberdelincuentes siempre intentan encontrar una puerta por la que acceder a los datos de los usuarios y de la importancia, por tanto, de blindar todo acceso.

“Hemos de ser conscientes del valor que tienen nuestros datos y de que ese valor se puede traducir en dinero si se comercializan, por ejemplo, en la Deep Web”, recuerda Fernando Suárez, presidente del Consejo General de Colegios Profesionales de Ingeniería Informática (CCII) de España y del órgano colegial gallego. Además del perfilado personal, el informático gallego advierte de que a través de estos ataques, los ciberdelincuentes pueden acceder a contraseñas de acceso a servicios de todo tipo (bancario, perfiles en redes sociales, etcétera), y el usuario puede llegar a sufrir chantaje a cambio de no hacer públicos ciertos datos, como fotografías y vídeos personales.

En su opinión, este ciberataque constata la vulnerabilidad de particulares, corporaciones y organismos públicos ante los ciberdelincuentes, que también se han atrevido con gigantes como Google. El buscador desveló que en 2023 sufrió y repelió el mayor ataque de denegación de servicio distribuido (DDoS) jamás registrado hasta la fecha. Diez años antes, Yahoo sufrió un robo de datos que afectó a cerca de 3.000 millones de cuentas y en 2018, un ataque informático a Facebook dejó al descubierto datos de 50 millones de cuentas en la red social.

“Casos como éste deben servir para tomar medida para evitar que vuelvan a repetirse”

Fernando Suárez

— Presidente de los informáticos

“Creo que no hay que demonizar a las entidades públicas por algo así, sino que debemos darnos cuenta de que hoy en día están tan expuestas o más que otras organizaciones. Hay multitud de motivaciones para estos ataques y no cabe duda de que, por el volumen de información o la repercusión mediática del ataque, las administraciones públicas son muy atractivas para los ciberdelincuentes”, opina.

En cualquier caso, los ciberataques a organismos públicos que manejan millones de datos de usuarios despiertan un sinfín de preguntas y dudas: ¿Qué persiguen los cibercriminales con este tipo de ciberataques? ¿Qué usos pueden hacer de los datos extraídos? ¿Tenemos los ciudadanos que preocuparnos? ¿Es posible que con esta información suplanten nuestra identidad y realicen transacciones en nuestro nombre? ¿Cómo proteger los datos que facilitamos a comercios, bancos y entidades públicas? ¿Se pueden exigir responsabilidades?

Empezando por la última cuestión, Suárez sostiene que podría haber responsabilidad en el robo de datos en el caso de que no se hubieran tomaron las medidas oportunas o si no se hubiera cumplido con el plazo de comunicación del ataque. “Pero, personalmente, creo que lo que debemos hacer es aprovechar casos como éste para que todos, administraciones, profesionales del sector y usuarios a todos los niveles, tomemos conciencia y apliquemos todas las medidas que están en nuestra mano para intentan evitar que se repitan”, manifiesta.

El ciberataque a una empresa o entidad ajena escapa del control del titular de los datos, aunque sí se puede intentar reducir los daños ante una eventual incursión delictiva minimizando el conjunto de datos que se ceden e intentando identificar aquellas empresas que transmiten confianza en el acceso a los datos de otras que no, aunque esto, reconoce Suárez, tampoco es una garantía absoluta. “Los ciudadanos tenemos que ocuparnos y ser conscientes de proteger esta información, aunque no siempre la responsabilidad sea nuestra, como en el caso del consorcio, donde la protección de la información no estaba bajo nuestra responsabilidad. Aunque en este caso, la responsabilidad trasciende a los usuarios afectados, muchas veces cedemos datos e información a sitios donde ya se percibe que la seguridad no es la que debiera”, dice.

Motivaciones variopintas

En cuanto a qué buscan los ciberdelincuentes por medio de estos ataques, las motivaciones son variopintas, al igual que lo es la tipología de los delitos. “Pueden ser desde intereses monetarios, por ejemplo, por la venta de datos personales que pueden ser usados por terceros para ataques tipo ‘phishing’ o, en caso de ataques tipo ‘ransomware’, pidiendo un rescate para volver a hacer accesibles los datos y permitir la continuidad del negocio; el desprestigio de la entidad o empresa atacada, mermando su imagen; la venganza de empleados descontentos, y ‘hacktivistas’...”, dice.

Suárez reconoce que el alcance de las consecuencias de un ciberataque que afecta a millones de usuarios es difícil de calcular. Por ello, ante este tipo de incursiones, recomienda actualizar las contraseñas en los distintos servicios e, incluso, optar por opciones como el doble factor de autentificación, eligiendo dos de tres elementos del grupo ‘algo que soy’ (biometría), ‘algo que tengo’ (un token) y ‘algo que sé’ (contraseña). “En este sentido, también es importante la normativa que, ante filtraciones de información, obliga a notificar a los posibles afectados, de modo que, si estamos en esta circunstancia, recomendamos incrementar si cabe, nuestras precauciones”, añade el informático gallego.

Suscríbete para seguir leyendo