Uno de los peores incidentes que pueden ocurrirle a una empresa es que se filtren datos sensibles, bien sean de sus empleados, directivos o de sus clientes. Hasta no hace mucho se consideraba que la filtración de esos datos podrían ser aprovechados principalmente por sus competidores pero también debemos tener en cuenta que esta información también puede ser aprovechada para preparar todo tipo de ataques a sus empleados o clientes.
De un tiempo a esta parte hemos visto sonados casos de filtración de información en empresas importantes y estos no han hecho más que aumentar en las últimas semanas. Entre los más destacados podemos mencionar los de la fuga de datos de Epsilon, empresa que se encarga de gestionar el marketing de varias empresas importantes y que almacena datos personales (entre ellos el correo electrónico) de los millones de usuarios que tienen compañías como Best Buy, Citigroup, Dell, Disney o Verizon entre otras.
Por desgracia, este tipo de filtraciones son cada vez más frecuentes y llevamos unas semanas en las que no dejan de aparecer otras empresas afectadas. Pero ¿Por qué se producen estas filtraciones, cómo pueden afectar a los usuarios que han visto sus datos expuestos y que se puede hacer una vez han sucedido?. En este artículo vamos a tratar de proporcionar la respuestas a estas preguntas.
El motivo por el cual los ataques que buscan hacerse con datos de usuarios tienen éxito es la mala securización de los mismos. Muchos de nuestros datos están almacenados en servidores de compañías que no solucionan vulnerabilidades en sus sistemas o no aplican medidas de seguridad elementales y permiten que un atacante pueda, por ejemplo, realizar una inyección SQL que le permite robar, por ejemplo, la base de datos de usuarios de una empresa.
Una vez estos datos han sido robados, pueden pasar varias cosas con ellos. En el caso de que sean datos como el correo electrónico, lo más probable es que se utilicen estas direcciones para realizar ataques de phishing, suplantando a alguna de las compañías a las que hayamos cedido nuestros datos y que haya sufrido una filtración de los mismos. Obviamente, si el correo se encuentra correctamente redactado, somos usuarios de los servicios de la empresa que supuestamente nos envía el correo y además se añade información que solo debería saber la empresa original (como pedidos realizados), es probable que caigamos en la trampa. A partir de ahí estaríamos a merced de los ciberdelicnuentes, quienes podrían hacernos pulsar sobre un enlace que nos llevase a una web que suplantase la original para robarnos datos sensibles, como los de nuestra tarjeta de crédito.
Una vez una empresa ha visto como los datos de sus clientes eran filtrados esta puede hacer básicamente dos cosas. Esconder la cabeza sin admitir dicha filtración (no muy recomendable puesto que todo se termina sabiendo) o aceptarlo, reconociendo que esos datos han sido robados, informando que datos han sido comprometidos y ofreciendo consejos básicos de seguridad para evitar caer en trampas preparadas con esos datos. Un ejemplo de esas buenas prácticas fue el de la empresa Hilton HHonors, la cual, poco tiempo después de hacerse pública la filtración sufrida por Epsilon, envió un correo a todos sus usuarios comentándoles todos esos puntos.
Así las cosas, no nos extrañaría en absoluto que veamos mas casos parecidos en las próximas semanas (de hecho, han seguido ocurriendo) y, como usuarios, debemos ser precavidos para saber distinguir entre los correos legítimos de empresas que tienen nuestros datos y los falsos, cuyos remitentes solo desean acceder a datos aun mas confidenciales con fines nada beneficiosos para nosotros. Desde el Laboratorio de ESET en Ontinet.com recomendamos desconfiar de números de teléfono o enlaces proporcionados por email, aunque el remitente sea legítimo. Siempre será más seguro acceder a la web introduciendo nosotros mismo la dirección web de la empresa en la que deseemos realizar una consulta antes que pulsar sobre un enlace proporcionado por correo.
Josep Albors