No importa de dónde obtenga sus noticias, no puede evitar las historias aparentemente semanales sobre la última violación de datos. Los bancos, los comerciantes, los administradores de contraseñas, los operadores de telecomunicaciones y prácticamente cualquier otra empresa pueden fallar en la protección de los datos confidenciales de los usuarios. Sin embargo, no todas las infracciones son iguales, y el efecto de una infracción en usted puede variar enormemente.

Estamos aquí para ayudarlo a comprender qué es una violación de datos y ofrecerle algunos consejos para proteger su vida personal de los peores efectos de una.

¿Qué quieren los ladrones de datos?

Imagínese una banda de delincuentes atacando un vehículo blindado que lleva cajas fuertes llenas de objetos de valor. Parece que han hecho un recorrido lucrativo, pero en términos prácticos, no saben quién es el dueño de cada caja fuerte, no tienen idea de lo que hay dentro y están a años luz de descifrar las combinaciones. Eso es muy parecido a lo que sucede cuando los ladrones de datos obtienen bóvedas de datos encriptados de un administrador de contraseñas o una compañía similar. Cuando se implementa correctamente, dicha bóveda solo puede ser abierta por el propietario, y todo el descifrado se realiza localmente en el dispositivo del propietario.

Ante una caja fuerte misteriosa o un bloque desconocido de datos encriptados, es probable que los ladrones busquen objetivos más fáciles. Sin embargo, incluso un poco de información adicional puede facilitar el descifrado de cajas fuertes. Por ejemplo, en la reciente violación de LastPass, los ladrones obtuvieron versiones no cifradas de las URL de las contraseñas en la bóveda. Eso hizo que adivinar las contraseñas maestras fuera más fácil y, por supuesto, una vez que los ladrones tienen su propia copia personal de su bóveda en la mano, pueden pasar cualquier cantidad de tiempo tratando de descifrarla.

¿Qué puede pasar si sus datos son robados?

En otro tipo de violación, los ladrones se apoderan de la lista de clientes de una empresa, en su totalidad o en parte. Ya sea que entren a la oficina y saquen una lista en papel o pirateen una base de datos en línea, el resultado es el mismo. En el mejor de los casos, solo obtienen detalles no muy privados, como su nombre, dirección, número de teléfono y correo electrónico. Es cierto que pueden vender esa información a intermediarios y agregadores de datos. Es posible que obtengan una lista de sus compras, también de interés para los corredores.

Es concebible que los datos robados incluyan el número de su tarjeta de crédito, pero eso no es una preocupación tan grande como podría pensar. El antiguo protocolo Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) define la seguridad de las transacciones con tarjeta de crédito con detalles insoportables, y funciona la mayor parte del tiempo, siempre que las empresas sigan las reglas. En cualquier caso, no tienes que pagar por cargos fraudulentos en tarjetas de crédito (al menos en los EE. UU.). Tenga en cuenta que, en muchos casos, los detalles de su tarjeta de crédito residen en un proveedor externo, no en el comerciante al que pagó.

Los comerciantes en línea y otros sitios tienen el deber de proteger los detalles de su cuenta. Muchos hacen un buen trabajo, mantienen todos los datos encriptados y utilizan técnicas de conocimiento cero que les permiten validar su contraseña de inicio de sesión sin saber ni almacenar esa contraseña. Pero si un sitio almacena su contraseña de manera insegura y queda expuesta en una violación, ha perdido el control de esa cuenta. Según el tipo de sitio, los piratas informáticos pueden realizar pedidos, realizar transferencias bancarias, enviar correos electrónicos en su nombre e incluso bloquearlo cambiando la contraseña.

Se pone peor, de dos maneras. Primero, si no ha solicitado la ayuda de un administrador de contraseñas, probablemente use la misma contraseña en varios sitios. Los piratas informáticos lo saben y comparan rápidamente las credenciales robadas con otros sitios populares. En segundo lugar, si obtienen acceso a su cuenta de correo electrónico, en la mayoría de los casos pueden usar el mecanismo de restablecimiento de contraseña estándar para capturar más de sus cuentas en línea. Una violación que expone sus contraseñas puede convertirse rápidamente en un robo de identidad a gran escala.

Incluso cuando la autenticación Zero Knowledge no se implementa a la perfección, crea serios obstáculos para los malhechores que intentan romper la seguridad. Por el contrario, cuando las empresas ignoran esta tecnología, los resultados pueden ser desastrosos. Los detalles aún están surgiendo, pero parece que la empresa hermana de LastPass, GoTo, también fue pirateada, lo que provocó la pérdida de datos de los usuarios de varias de sus líneas de productos, incluidas las copias de seguridad cifradas. Un comunicado de la empresa(Se abre en una nueva ventana) reveló que «un actor de amenazas exfiltró una clave de cifrado para una parte de las copias de seguridad cifradas». Así es. Con Zero Knowledge, una empresa nunca almacena ni ve la contraseña de descifrado única de cada usuario. Pero en este caso, parece que la contraseña singular se almacenó cerca de los datos cifrados, algo así como escribir la combinación de una caja fuerte en la puerta.

¿Cómo se piratean las bases de datos?

Le pedí a un programa de creación de imágenes de IA que dibujara «un hacker que obtiene acceso a una base de datos cifrada». No es sorprendente que todos los resultados muestren una figura vestida con una sudadera con capucha que escribe código mientras examina interminables líneas de caracteres crípticos. Este nivel de piratería ocurre, pero en la vida real entrar en cuentas puede ser mucho más simple.

La violación de Norton Password Manager es un buen ejemplo. Los atacantes no violaron la seguridad de Norton y no robaron datos cifrados. Más bien, usaron nombres de usuario y contraseñas de otros robos para iniciar un proceso llamado relleno de credenciales. Es muy sencillo. Simplemente usaron un script para probar miles y miles de combinaciones de nombre de usuario y contraseña, anotando cuidadosamente las pocas que dieron acceso a la cuenta de alguien. La reciente violación de PayPal también involucró el relleno de credenciales.

El grupo que robó las bóvedas de datos encriptados de LastPass sigue prófugo y puede hacer interminables intentos para adivinar las contraseñas maestras que abrirán esas bóvedas. No tomaría mucho tiempo probar las cien (o mil) contraseñas más comunes en cada bóveda. Si este esfuerzo rompe incluso un objetivo entre cien, los ladrones lo están haciendo bien.

¿Qué puedo hacer después de una violación de datos?

Es fácil hacer pasar las últimas noticias como otra aburrida violación de datos, pero realmente deberías prestar atención. ¿Tiene una cuenta u otra conexión con la entidad violada? ¿Qué tan grave es la infracción? A veces, un artículo de noticias lo detallará, tal vez diciendo nada más que el correo electrónico del cliente y las direcciones físicas que quedaron expuestas (¡uf!) o que la infracción involucró información financiera específica. En otras historias, verá muchos menos detalles, ya sea porque la empresa afectada aún no sabe lo que se perdió o porque no quiere admitirlo.

Una cosa que no puede hacer es esperar a que una entidad violada le informe si se vio afectado. Un hack como este es vergonzoso y costoso, y por razones legales, las empresas víctimas son muy cautelosas con lo que revelan. En algunos casos, un buen abogado puede convertir una declaración como «Lo sentimos, perdimos sus datos» en una demanda colectiva. Siendo ese el caso, suponga que sus datos se incluyeron en la violación.

Si tiene una cuenta con la empresa violada, cambie su contraseña. ¡Ahora! No importa si estás seguro de que estuviste expuesto. Hazlo. No sea parte de uno de cada seis estadounidenses que alegremente no hacen nada después de una infracción. Utilice una contraseña fuerte y única generada por su administrador de contraseñas.

No se detenga allí: busque en su administrador de contraseñas otros sitios en los que haya utilizado la contraseña comprometida y corríjalos también. Esta es una acción de tiempo crítico. Los ladrones de datos no pueden acceder a todas las cuentas robadas simultáneamente, por lo que si actúa con rapidez puede adelantarse a ellos.

Mientras tiene abierto el sitio (o sitios) afectados, verifique si la autenticación multifactor (MFA) es una opción. MFA es su arma más poderosa contra la apropiación de cuentas. Habilítelo, si está disponible. Ahora iniciar sesión requiere tanto su contraseña como otro factor, como una aplicación de autenticación en su teléfono o una clave de seguridad física. Una contraseña robada es inútil sin ese factor adicional.

¿Qué es la autenticación de dos factores?

Incluso después de cambiar su contraseña, vigile a la empresa afectada durante un tiempo. Inicie sesión y compruebe que las órdenes o acciones pendientes son cosas usted hizo Vea si la compañía está ofreciendo algún tipo de compensación para las víctimas. Darle una suscripción gratuita de seguimiento de crédito no está fuera de discusión. Después de la violación de Experian en 2015, Experian ofreció a las víctimas dos años de servicios de monitoreo de crédito y resolución de identidad.

Si le robaron la bóveda de su administrador de contraseñas, son malas noticias. Las cosas son especialmente complicadas si la empresa afectada no siguió con precisión los protocolos de conocimiento cero, o si protegió sus contraseñas con una contraseña maestra poco convincente o reutilizada. Cambiar su contraseña no evitará que los ladrones intenten romper la seguridad, ya que los datos robados aún se abren con la contraseña anterior. Lo mismo ocurre con la adición de MFA después del hecho. Su único recurso real es cambiar a un administrador de contraseñas más confiable y luego generar rápidamente contraseñas nuevas y únicas para cada sitio seguro.

Cómo protegerse contra las filtraciones de datos

Como se señaló, los ataques de relleno de credenciales simplemente usan un script que automatiza la verificación rápida de las contraseñas más comunes en varias cuentas. Si está tratando de recordar contraseñas sin ayuda, es muy probable que esté extrayendo de un grupo de las peores contraseñas o usando la misma contraseña en todas partes. Ese es un gran problema. Obtenga un administrador de contraseñas ahora mismo y comience a usarlo. Elija uno con un fuerte énfasis en la seguridad, en particular, la seguridad Zero Knowledge(Se abre en una nueva ventana). Zero Knowledge significa que nadie más puede abrir su bóveda, ni la compañía de contraseñas, ni un empleado descontento, ni siquiera la NSA.

Elija un administrador de contraseñas que proporcione un informe de seguridad de contraseña procesable. Si ya está armado con tal herramienta, utilizar él. Reemplace todas las contraseñas débiles por otras fuertes. Cuando el informe muestre contraseñas duplicadas, genere una nueva contraseña para cada sitio. No pospongas esto; no sabes dónde llegará la próxima brecha.

Ya has oído esto antes, pero lo diré de nuevo. Proteja su tesoro de contraseñas con una contraseña larga, fuerte y fácil de recordar. Luego agregue la autenticación multifactor. Si tiene la opción, la autenticación mediante una aplicación de teléfono inteligente o una clave de seguridad física es mejor que el tipo que se basa en enviarle un código por mensaje de texto. Con esas tareas realizadas, haría bien en regresar y habilitar MFA para cada cuenta que lo admita.

Trucos simples para recordar contraseñas increíblemente seguras

Los sitios de compras y similares no pueden exponer datos personales que no tienen. Sí, es conveniente dejar que el sitio guarde la información de su tarjeta de crédito y de envío, pero cuando tenga que elegir, rechace esa conveniencia. Siempre puede usar su administrador de contraseñas para completar esos datos según sea necesario. Y si un campo no está marcado como obligatorio, déjalo en blanco.

A menos que corte todo contacto con el mundo digital, su información personal está dispersa por la web. Algunos de los sitios que contienen sus valiosos datos no los protegen tan bien como deberían, lo que a menudo resulta en una violación. No puede evitar que eso suceda, pero puede minimizar su exposición siguiendo nuestras sugerencias y maximizar sus posibilidades de recuperación prestando atención cuando se produce una infracción y tomando medidas de inmediato.