Saltar al contenido

La verdad sobre las grandes violaciones de datos

23/10/2020

Julio comenzó con una ola de titulares que parecían aterradores. «¡Dos mil millones de registros expuestos en una violación de datos!» y «¡El vendedor de casas inteligentes filtra miles de millones de registros!» Suena intenso, ¿verdad? De hecho, es una historia recurrente. Las grandes filtraciones de datos ocurren con regularidad, y los medios se ven inundados de números demasiado colosales para imaginar y términos demasiado complicados de comprender. Estamos aquí para ayudarlo a revisar las sensacionales noticias y aprender a comprender adecuadamente los anuncios de violación de datos.

Analicemos un incidente de datos significativo que tuvo lugar en julio y averigüemos dónde debemos ubicarlo en el espectro de las mayores violaciones de datos recientes.

La “violación de datos de 2 mil millones de registros” de Orvibo: ¿Qué pasó?

Si aún no ha oído hablar de esta importante infracción, aquí está:

Un equipo de investigación en ciberseguridad descubierto una base de datos en línea desprotegida. La base de datos incluía más de dos mil millones de registros y pertenecía a Orvibo, una empresa china que vende productos para el hogar inteligente, incluidas cerraduras inteligentes, cámaras y más. Aunque los investigadores se pusieron en contacto con Orvibo ya el 16 de junio, la base de datos permaneció abierta hasta el 2 de julio. Por lo tanto, durante más de dos semanas, los ciberdelincuentes podrían encontrar y abusar de la enorme colección de datos. Sin embargo, actualmente se desconoce si realmente se ha producido un uso ilegal.

Quizás lo más importante es que debemos aceptar que el número de registros incluidos en una infracción no se corresponde con el número de usuarios afectados. Un registro es una línea de datos en una base de datos. Dentro de esta violación de datos, es difícil definir cuántos usuarios están involucrados. Sin embargo, los investigadores informan que Ovribo tiene alrededor de un millón de usuarios, incluidos particulares y empresas. Según este parámetro, este incidente reciente es mucho menor en escala que algunos de los mayores violaciones de datos que afectó a cientos de millones o incluso miles de millones de usuarios.

Sin embargo, lo que es realmente desconcertante sobre la violación de datos de Orvibo es el tipo de información que quedó expuesta. La base de datos abierta incluía registros sorprendentemente detallados como:

  • Correos electrónicos
  • Contraseñas
  • Códigos de restablecimiento de cuenta
  • Geolocalización
  • Direcciones IP
  • Nombres de usuario
  • Apellidos
  • ID de usuario
  • Identificaciones familiares
  • Dispositivos inteligentes activos
  • Acceso a la cuenta por dispositivo
  • Información de programación

Estos son datos personalmente sensibles. Con los códigos de restablecimiento, los atacantes podrían haber secuestrado las cuentas de los usuarios para controlar sus dispositivos inteligentes. Al conocer los datos de contacto de los usuarios y su geolocalización, los ciberdelincuentes podrían haber robado o chantajeado a las víctimas de la violación de datos. Aunque no hay evidencia de que estos datos hayan caído en las manos equivocadas, es difícil dormir tranquilo cuando alguien puede tener las llaves para controlar su hogar inteligente.

Cómo evaluar la gravedad real de una violación de datos

Los incidentes de datos ocurren con una frecuencia enorme: 72 registros se pierden o son robados cada segundo. La escala de Violaciones de datos en 2018 prueba que casi nadie está a salvo de ellos. Podemos ver anuncios de infracciones a diario, pero ¿cómo debemos entenderlos correctamente? ¿En qué debemos centrarnos para comprender cuán peligroso es realmente un incidente determinado?

El número de cuentas afectadas

Cuando lea sobre una violación de datos, asegúrese de tener en cuenta a qué se refieren los números:

  • Los «registros» indican líneas de datos en una base de datos
  • «Cuentas» (o pares de nombre de usuario y contraseña) indican usuarios afectados, aunque algunos pueden tener varias cuentas

Naturalmente, cuantas más cuentas estén comprometidas, mayor será el riesgo para cualquier usuario. Por ejemplo, la violación de datos más grande hasta ahora, la divulgada por Yahoo en 2017, afectó a más de 3 mil millones de usuarios, lo que era comparable al 40% de la población mundial en ese momento.

La sensibilidad de los datos expuestos

Los registros expuestos pueden incluir información confidencial, como nombres de usuario y contraseñas, o datos disponibles públicamente, como listas de países, ciudades, direcciones de tiendas y más. Al juzgar la gravedad de una determinada violación de datos, debe tener en cuenta si se revelaron registros confidenciales, incluida la siguiente información:

  • Pares de datos de inicio de sesión, incluidas contraseñas y direcciones de correo electrónico o nombres de usuario
  • Números de teléfono
  • Direcciones o coordenadas de ubicación
  • Detalles de tarjetas de crédito o débito
  • Números de seguro social
  • Fotos
  • Mensajes privados

Incluso una gran violación de datos no es tan terrible si los atacantes no pueden hacer mucho daño con los datos robados. Por ejemplo, si se expone una lista de correos electrónicos, se puede utilizar para enviar spam. Es desagradable, pero no tan malo como cuando un conjunto completo de datos personales cae en manos de un ladrón. En comparación, si alguien roba su identidad usando su nombre, fecha de nacimiento y número de Seguro Social, puede infligirle un daño financiero significativo.

La forma en que se almacenaron los datos

A veces, puede leer que las contraseñas comprometidas se almacenaron «en texto sin formato» o que fueron «hash». ¿Qué significa esto? Mantener las contraseñas en texto sin formato es una práctica de seguridad realmente espantosa. Básicamente, las contraseñas de texto sin formato están «listas para usar» en caso de robo. Una mejor idea es picarlos. La información «hash» significa transformarla en una línea de símbolos utilizando un algoritmo determinado. Si se utiliza un algoritmo confiable, es prácticamente imposible que un pirata informático revertir la transformación y revelar la contraseña inicial.

En los artículos sobre violaciones de datos, puede encontrar varias abreviaturas de algoritmos hash. Estos son los más extendidos:

  • MD4 y MD5 son considerado algoritmos débiles. Desafortunadamente, Orvibo usó MD5 para codificar las contraseñas.
  • SHA1 y SHA2 (incluidas las versiones SHA-224, SHA-256, SHA-384 y SHA-512) son generalmente algoritmos más sólidos.

Sin embargo, con todos los algoritmos populares es posible aplicar ingeniería inversa a las contraseñas originales utilizando las llamadas tablas arcoiris. Estas tablas contienen las contraseñas más utilizadas y las respectivas cadenas de símbolos. Para hacer imposible ese descifrado, los propietarios de bases de datos pueden «saltear» los hash: agregar datos aleatorios a cada contraseña antes de aplicarlos.

En el caso de Orvibo, los hashes no fueron salados, lo que hace que el ocultamiento de contraseñas sea bastante ineficaz. Desafortunadamente, no siempre puede aprender fácilmente cómo ciertas empresas almacenan sus datos. Por lo tanto, debe tomar su seguridad en sus propias manos. Como puede ver, si usa contraseñas únicas, largas y complejas, minimiza en gran medida los riesgos de robo de cuentas.

Hay aun mas pasos que puede tomar para protegerse de las violaciones de datos. Y si te ocurre un evento tan desagradable, estamos aquí para ayudarte. superar las consecuencias de una violación de datos.

Otra herramienta relevante que te ofrece el equipo de Tecnologares Guardia contra robo de identidad. Si configura su cuenta y agrega su dirección de correo electrónico, ID Theft Guard verificará periódicamente todas sus cuentas asociadas para ver si aparecen violaciones de datos. Si algún dato de cuenta privada vinculado a su dirección de correo electrónico se hace público, recibirá alertas inmediatas. De esta manera, podrá reaccionar rápidamente para proteger todas sus otras cuentas de piratería y fraude.