Las brechas de datos se han convertido en algo rutinario, aunque cada nuevo incidente reportado parece afectar de forma más seria a una cantidad más grande de usuarios. Especialistas en protección de datos afirman que, la mayoría de las ocasiones, los datos comprometidos terminan en manos de compañías de marketing e incluso de actores de amenazas.
Actualmente existen decenas de compañías dedicadas a recopilar enormes cantidades de datos desde perfiles de redes sociales, foros en línea o redes de trabajo; esto representa un problema de seguridad, pues muchas de estas compañías no cuentan con las implementaciones de protección de la información adecuadas, siendo propensas a las brechas de datos.
Bob Diachenko, experto en protección de datos dedicado principalmente a la búsqueda y reporte de bases de datos expuestas en Internet, en colaboración con el investigador Vinny Troia, reveló el descubrimiento de más de mil millones de registros expuestos en una implementación de Elasticsearch. Según reportan los investigadores los registros expuestos vienen de dos diferentes compañías de recolección de datos (conocidas como “data brokers”).
La primera de estas compañías, People Data Labs, con sede en California, no ha podido demostrar que cuenta con consentimiento expreso de las personas para el uso con fines comerciales de su información. En total, la compañía expuso 622 millones de direcciones email, cerca de 50 millones de números telefónicos y perfiles de personas elaboradas a partir de la búsqueda de información en plataformas como Facebook, LinkedIn, Twitter, entre otras. Al parecer no existen elementos duplicados, por lo que cada registro es único.
Los especialistas en protección de datos conocen a este tipo de recolección como “enriquecimiento de datos”, y consiste en la búsqueda de información personal de un usuario a partir de un solo dato (como nombre completo, nombre de usuario en alguna plataforma en línea, lugar de trabajo, etc.); posteriormente, los data brokers generan perfiles de cada usuario para ofrecerlos a las compañías de marketing.
En total los investigadores encontraron cuatro índices de datos, tres de los cuales pertenecían a People Data Labs. Estos tres índices abarcaban detalles de más de mil millones de personas, incluyendo direcciones email y otros datos de contacto.
Por otra parte, el cuarto índice pertenece a OxyData.io, y parece albergar información recolectada sólo de LinkedIn. Las dos compañías ya se han puesto en contacto con los investigadores, afirmando que ninguna de las bases de datos fue expuesta por usuarios maliciosos.
Al respecto, Carl Wearn, jefe de investigación de crímenes electrónicos en la firma de seguridad Mimecast, mencionó: “Estos datos no sólo son útiles para las compañías de marketing digital, sino que los cibercriminales también utilizan estos recursos para desplegar campañas de phishing, relleno de credenciales, entre otras variantes de ataque”.
El panorama es sin dudas complejo y los data brokers prefieren no hacer grandes cambios en sus prácticas para brindar mejores protecciones a los usuarios, por lo que especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) consideran que corresponde a los legisladores y autoridades de cada país establecer límites, tanto en plataformas de redes sociales como en las compañías de recolección de datos, para evitar que esta clase de detalles personales queden expuestos al alcance de cualquiera.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad