El cibercrimen crece todos los años, y 2018 no ha sido una excepción. Los ciberdelincuentes pueden cambiar sus formas de ataque, sus objetivos o su manera de actuar, pero el reto es siempre el mismo: romper la ciberseguridad empresarial de las compañías y acceder a la mayor cantidad de datos posible.
Muchas empresas, por desgracia, aprenden esta lección de la peor forma posible: Adidas, Ticketmaster, T-Mobile o British Airways son algunas de ellas, pero no han protagonizado los casos más alarmantes. Estas han sido las siete brechas de datos más graves de todo 2018.
1.- Aadhaar: 1,1 mil millones de registros
La India tiene un serio problema de ciberseguridad. Más concretamente, su base de datos de identificación nacional, Aadhaar, que tiene información de cerca de 1,1 mil millones de habitantes que ha acabado saliéndose de las fronteras de su sistema y estando a disposición de quien quiera invertir (muy poco) dinero para conseguirla.
Según descubrieron unos periodistas indios en enero, por el país circulaban varios grupos de Whatsapp en los que cualquiera podía comprar el fichero informativo de un ciudadano concreto. El precio, 500 rupias (algo menos de 6 euros), accediendo no solo a sus nombres y apellidos, sino también a datos privados y bancarios. Pese a que el Gobierno negó tal filtración, lo cierto es que la cosa iba mucho más allá: unos investigadores descubrieron también que, durante un periodo de tiempo, los ciudadanos que visitasen su propio perfil podían acceder a los de otros ciudadanos simplemente cambiando su ID en la url privada de la web de Aadhaar.
2.- Marriott: 500 millones de clientes
Es uno de los mayores grupos hoteleros del mundo y acaba de descubrir su mayor punto flaco. Marriott anunció en noviembre que el sistema de reservas de otras cadenas hoteleras de su grupo había sido hackeada. La fuga de datos viene sucediéndose desde 2014 y habría afectado a nada menos que 500 millones de clientes, cuyos datos bancarios y personales están a disposición de quien quiera comprarlos.
3.- Facebook y su pacto con Netflix, Microsoft…
Uno de los mayores escándalos del año y una mancha más para Facebook. Tal y como reveló The New York Times, la red social de Mark Zuckerberg ha estado, durante años, compartiendo datos de sus usuarios (sin su conocimiento) con más de 100 gigantes tecnológicos. Entre las compañías que compraron esa información se encontraban algunas del tamaño de Amazon, Bing, Yahoo! o Netflix, que tenían acceso a las publicaciones del muro de los usuarios o incluso a sus mensajes privados.
4.- Exactis: 340 millones de registros
Los planes de la agencia americana de marketing Exactis se vinieron abajo el pasado mes de junio, pero no precisamente por un robo o ningún acto de ciberdelincuencia: en realidad, la agencia había dejado expuestos en un servidor público cerca de 340 millones de registros.
En este caso no había datos bancarios de los usuarios, pero sí otros 150 campos de información con datos quizá más sensibles, como el número de niños en una casa, sus edades, el tipo de tarjeta de pago que tiene esa persona, una estimación del valor de su casa, si tiene acciones de empresas, sus aficiones, la entidad con la que tiene su hipoteca o su grupo étnico, entre otras muchas cosas. Las millonarias multas por infringir el GDPR no tardarán demasiado en llegar.
5.- Under Armour: 150 millones de registros
Si usas MyFitnessPal, una de las apps de nutrición más importantes del mundo, tus datos corren serio peligro. La empresa que la desarrolla, Under Armour, tuvo que admitir en marzo que un ciberdelincuente había accedido a los datos de registro de cerca de 150 millones de usuarios de la app. Entre los datos robados a cada usuario están tanto el correo electrónico usado para el registro como la contraseña de acceso a cada cuenta.
6.- Panera Bread: 37 millones de registros
¿Hay algo peor que ser víctima de un robo de información? Sí: ignorar a los que llevan ocho meses avisándote de ello. Es precisamente lo que le ocurrió a la cadena de restaurantes Panera Bread, que tuvo que admitir que su web había dejado expuestos los datos de registro de, al menos, 37 millones de clientes. Ahora dichos clientes saben (o deberían saber) que sus nombres, direcciones de correo, direcciones físicas y los cuatro últimos dígitos de su tarjeta de crédito han estado a disposición de quien haya querido cogerlos o comprarlos.
7.- 35 millones de votantes estadounidenses
Si las diversas elecciones en Estados Unidos ya han sufrido las sospechas de alteraciones de votos o de propagación de según qué informaciones haciendo uso de datos de los votantes, esto no ha ayudado a calmar los ánimos: en octubre se supo que una web tenía a la venta los registros electorales de cerca de 35 millones de votantes. El incidente, que afectó a 19 estados de todo el país, no habría permitido alterar los votos, pero sí cambiar las listas a pie de urna para impedir que todos esos ciudadanos pudiesen votar correctamente.
Como vemos, la protección de datos se ha convertido, a la fuerza, en la principal prioridad de muchas compañías para proteger su ciberseguridad empresarial. Para combatir este problema existen herramientas como Panda Data Control, el módulo de protección de datos de Adaptive Defense, que evita los accesos incontrolados a los datos personales y sensibles de la empresa monitorizando todos los procesos del sistema, emitiendo alertas en tiempo real de filtraciones, uso y tránsito sospechoso no autorizado y, en definitiva, detectando cualquier tipo de amenaza de manera proactiva a inmediata, ayudando a las compañías no solo a proteger su ciberseguridad empresarial, sino también a cumplir con el GDPR y evitar sus millonarias sanciones.
Y es que es cierto que los datos se han convertido en el nuevo petróleo, y esto va mucho más allá de las empresas tecnológicas. Cualquier tipo de compañía, sin importar su sector ni su tamaño, puede verse expuesta a la ciberdelincuencia, con lo que es esencial que sepa proteger el mayor patrimonio que tiene: sus datos.