El nivel de exposición que tenemos como usuarios a un mundo interconectado ha aumentado exponencialmente en los últimos años. El número de servicios online que tenemos a nuestra disposición es muy elevado y es habitual que las personas se registren en multitud de servicios aparentemente gratuitos en los que realmente el producto son los propios usuarios, y que, en muchas ocasiones, finalmente acaban abandonando por desinterés, pero cuyas cuentas e información queda registrada.
Ya no sólo nos puede afectar un programa malicioso que hayamos descargado desde un email, o de una aplicación descargada desde una web no oficial, si no que todos los datos que hemos usado desde para registrarnos en esos servicios y la información que hemos publicado, son de interés para los ciberdelincuentes. ¿Por qué?, la respuesta es sencilla, esos datos pueden ser monetizados ya que sirven para realizar cierto tipo de ataques como los de ingeniería social.
Hoy en día es común que encontremos en la prensa noticias de brechas de seguridad en empresas que anuncian el robo de miles o millones de datos de las cuentas de sus usuarios / clientes entre los que normalmente se incluyen nombres y apellidos, direcciones de email, contraseñas o incluso domicilio, número de teléfono, etc.
Para proteger a los usuarios y tener un marco de referencia con el que las empresas puedan actuar, se diseñó el Reglamento General de Protección de Datos de la Unión Europea, conocido como RGPD, del 27 de abril de 2016, el cual, dejó obsoleto a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Este reglamento establece en sus artículos 33 y 34 la obligación para las organizaciones, públicas y privadas, de notificar a la autoridad competente (en este caso, la Agencia Española de Protección de Datos) las brechas de seguridad que pueden ocasionar daños y perjuicios sobre las personas, y si los daños son graves, por ejemplo, que se hayan visto comprometidos datos bancarios, historiales médicos, direcciones de domicilios, etcétera, comunicar la brecha a los afectados para que puedan tomar las medidas oportunas. El plazo que tiene una organización para notificar una filtración de datos es de 72 horas desde que es conocedora de la fuga.
Este hecho provoca que en ocasiones podamos recibir notificaciones de alguno de los servicios online que utilizamos como por ejemplo redes sociales, páginas de compra de billetes para transporte público, proveedores de servicios de internet, etc. en las que nos alertan que han sufrido un incidente de ciberseguridad que ha derivado en la fuga de información de información de las personas que utilizan dicho servicio.
- Ser proactivos y estar atentos a posible phishing que recibamos en cualquiera de sus formas posibles, llamadas, emails o SMS. Si empezamos a recibir esta clase de mensajes con información confidencial como contraseñas, es posible que los datos se algún servicio online que utilicemos se haya filtrado.
- Privacidad y anonimato como base de nuestra conducta en internet. Un grado de exposición siempre vamos a tener, pero que esté bajo nuestro control para acotar los riesgos.
- Usar factor de doble autenticación en todas las aplicaciones que lo tengan disponible. Para que alguien acceda a nuestras cuentas necesitaría tener nuestras claves y además acceso a nuestro teléfono móvil. No es infalible, pero es bastante más costoso para los delincuentes poder tomar el control de nuestra cuenta.
- Nunca usar la misma contraseña en varios servicios. Si nos vemos afectados por un robo de datos y nuestra contraseña es la misma para todas las aplicaciones y herramientas que usamos, los cibercriminales tendrán acceso a toda la información de nuestras cuentas y perfiles.
- Tener copias de seguridad de nuestros datos importantes, facturas, extractos bancarios, emails, etcétera. Son fundamentales para recuperarnos de un incidente de este tipo.
- Limitar la información que compartimos en internet. Nunca poner datos personales en redes sociales, ni número de teléfono ni direcciones.
- Si la filtración afecta a nuestros datos bancarios, nos pondremos en contacto con nuestra entidad bancaria para que nos asesoren y si es necesario, bloquear nuestras tarjetas de crédito.
- Cambiar nuestras claves de acceso cuanto antes.
- Desarrollar el hábito de cambiar nuestras claves regularmente. Usar contraseñas seguras, robustas, de 15 caracteres o más, mezclando mayúsculas, minúsculas, números y caracteres especiales (guiones bajos, @, etcétera). Podemos usar un gestor de contraseñas para facilitar recordarlas.
- En caso de desearlo, es posible interponer una denuncia para reclamar.
Qué es la LOPD
https://www.lopd-proteccion-datos.com/ley-proteccion-datos.php
Artículo sobre cómo actuar ante brecha de seguridad con un caso concreto
Cómo denunciar delito en internet en la Ertzaintza
https://www.ertzaintza.eus/lfr/eu/web/ertzaintza/interposicion-denuncia
