Las filtraciones de datos son una amenaza creciente para las empresas y una pesadilla para sus clientes. Según las últimas cifras, en 2024 se produjeron 3.158 incidentes denunciados públicamente en Estados Unidos, apenas debajo del máximo histórico.
Como resultado, se tuvieron que enviar más de 1.300 millones de cartas de notificación de violación de datos a las víctimas, de las cuales más de 1.000 millones se vieron afectadas por cinco mega brechas de más de 100 millones de registros cada una, así lo dio a conocer en un comunicado la compañía de ciberseguridad, ESET.
“Una vez que tus datos personales fueron robados, ya sea en una brecha masiva o a través de uno de los distintos métodos existentes, es probable que estos datos sean vendidos o cedidos a otros para su uso en diversos esquemas de fraude. Esto podría ir desde compras ilegales hasta la toma de control de cuentas (ATO), fraude de cuentas nuevas o esquemas de phishing diseñados para obtener información aún más sensible. En algunos casos, se mezclan datos reales con otros generados por máquinas para crear identidades sintéticas más difíciles de bloquear por los filtros antifraude.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Seguridad Informática de ESET Latinoamérica.
¿Qué datos se encuentran en riesgo de falsificación?
De acuerdo con la compañía de ciberseguridad, los datos más propensos a ser falsificados son: nombres y direcciones, números de tarjetas de crédito/pago, números de documentos de identidad oficiales, números de cuentas bancarias, datos de credenciales de servicios de salud, pasaporte o carné de conducir y datos de acceso a cuentas personales y de empresa en Internet.
El fraude de identidad se reduce a los datos, por lo que es importante comprender cómo los ciberdelincuentes consiguen la información. Si no están robando grandes cantidades de datos de terceras organizaciones, los principales vectores de ataques dirigidos contra individuos son:
- Phishing/smishing/vishing: los ataques clásicos de ingeniería social pueden producirse a través de varios canales, desde el tradicional phishing por correo electrónico hasta mensajes de texto (smishing) e incluso llamadas telefónicas(vishing). El autor de la amenaza suele utilizar técnicas conocidas y probadas para engañar y conseguir que se cumplan sus órdenes, que suelen ser hacer clic en un enlace malicioso, rellenar datos personales o abrir un archivo adjunto malicioso.
- Robo digital: Para hacerse con los datos de su tarjeta, los autores de la amenaza pueden insertar un código malicioso de skimming en las páginas web de un sitio popular de comercio electrónico o similar. Todo el proceso es completamente invisible para la víctima.
- Malware: el malware Infostealer es un problema creciente tanto para usuarios corporativos como para consumidores. Puede instalarse involuntariamente a través de diversos mecanismos, como mensajes de phishing, descargas no solicitadas de sitios web infectados, juegos pirateados, anuncios de Google o incluso aplicaciones de aspecto legítimo, como falsos programas de reuniones. La mayoría de los infostealers cosechan archivos, flujos de datos, detalles de tarjetas, criptoactivos, contraseñas y pulsaciones de teclas.
- Pérdida o robo de dispositivos: Si pierdes tu dispositivo y no cuentas con la protección adecuada, los hackers podrían asaltarlo en busca de datos personales y financieros.
El uso de sitios web o aplicaciones maliciosas, así como las redes de Wi-Fi públicas y la publicidad maliciosa, son otras de las maneras en que los datos se pueden ver vulnerables y accesibles para los ciberdelincuentes.
Cómo protegerse ante esta ciberamenaza
Desde ESET comparten algunas buenas prácticas para aplicar en conjunto y evitar así que los delincuentes accedan a la información personal y financiera:
- Contraseñas fuertes y únicas: Elegir una contraseña distinta para cada sitio, aplicación o cuenta, y guardarlas en un gestor de contraseñas. Activar la autenticación de doble factor (2FA) en las cuentas, de esta forma, aunque alguien obtenga la contraseña, no podrá utilizarla. La mejor opción es una aplicación de autenticación o una llave de seguridad.
- Instalar software de seguridad: Esto escaneará y bloqueará aplicaciones y descargas maliciosas, detectará y bloqueará sitios web de phishing y alertará sobre actividades sospechosas, entre otras.
- Ser escépticos/as: Prestar atención a las señales de advertencia del phishing: un mensaje no solicitado que insta a actuar con rapidez y que contiene enlaces o archivos adjuntos. Algunas excusas que usan para engañar son supuestos ⦁ sorteos de premios con límite de tiempo o advertencias de multas si no se responde cuanto antes.
- Utilizar únicamente aplicaciones de sitios legítimos: App Store de Apple y a Google Play, por ejemplo, para disminuir la probabilidad de descargar aplicaciones maliciosas. Comprobar las reseñas y los permisos antes de descargarlas.
- Desconfiar de las redes Wi-Fi públicas: Mantenerse alejado de las redes Wi-Fi públicas o, si se debe usar una, no ingresar a cuentas sensibles mientras se esté conectado. En cualquier caso, utilizar una VPN.
