Ya sea a causa de ciberataques, descuidos o malas prácticas, la privacidad digital vive amenazada; nuestros datos se han convertido en lo que muchos denominan el «oro del siglo XXI» y hacerse con ellos es el objetivo de muchos actores, algunos de los cuales no dudan en vulnerar nuestro derecho a la privacidad digital y, de paso, unas cuantas leyes al respecto, como el RGPD. En este artículo repasamos 10 grandes casos de privacidad digital vulnerada, en los que la información confidencial de millones de usuarios se vio expuesta.
Proteger la privacidad digital, el gran reto de las empresas
Proteger la privacidad digital de sus usuarios, clientes o empleados, se ha convertido en el gran reto de las empresas, y también de otro tipo de entidades tanto públicas como privadas, no solo es una obligación legal en muchos países, sino que también es una cuestión de reputación y confianza; una empresa que no cumple con las leyes de privacidad y protección de datos, que no adopta las medidas necesarias para salvaguardar los datos personales que maneja y guarda, es una empresa que acabará perdiendo la confianza de sus clientes, de sus trabajadores, de sus socios y, que a la larga le supondrá pérdidas económicas.
Pero en un mundo cada vez más conectado, donde la llegada del 5G y la expansión del IoT (internet de las cosas) ha supuesto nuevas superficies de ataque, garantizar la privacidad y seguridad en internet se ha vuelto en una tarea mucho más compleja; los actores poco escrupulosos se adelantan a las leyes para aprovechar vacíos legales y explotar la información personal de los usuarios, los cibercriminales innovan y crean nuevas herramientas y técnicas cada vez más sofisticadas para hacerse con nuestra información (y nuestro dinero o el dinero de las empresas a las que atacan).
Si las empresas no quieren perder la confianza de sus clientes o futuros clientes, de sus socios e inversores, incluso de sus trabajadores, deben priorizar la seguridad de la información y poder así afrontar con mayores garantías las ciberamenazas actuales y las que se dibujan en el horizonte y evitar convertirse en uno más de los casos de privacidad digital vulnerada que protagonizan las noticias.
Es cierto que el riesgo cero no existe y que los problemas de privacidad en internet se deben tanto a los descuidos o seguridad insuficiente de las empresas como a los descuidos de los usuarios, pero las primeras tienen la obligación legal (si operan en la UE) de adoptar medidas de seguridad técnicas y organizativas que garanticen, entre otras, la privacidad digital de sus usuarios, clientes, empleados o socios.
10 grandes casos de privacidad digital vulnerada
A lo largo de las dos últimas décadas, hemos sido testigos de algunos de los casos de privacidad digital vulnerada más sonados y graves, en los que los datos de millones de usuarios fueron filtrados, usados y explotados con diferentes fines, poniendo de manifiesto que cualquier tipo de empresa puede verse afectada por uno de estos incidentes y, aunque en los casos de vulneración de la privacidad digital que veremos a continuación los protagonizan grandes compañías, las empresas medianas y pequeñas no están exentas de convertirse en el siguiente objetivo de un cibercriminal o sufrir una fuga de datos por un descuido o por no adoptar las medidas de seguridad adecuadas y tener que enfrentar las consecuencias legales y reputacionales correspondientes.
Estos son 10 de los grandes casos en los que la privacidad digital se vio vulnerada:
– Cambridge Analytica
Uno de los casos de privacidad digital vulnerada y de los más polémicos en el que se vio envuelto Facebook (ahora Meta) en 2018, cuando se descubrió que la empresa de análisis de datos, Cambridge Analytica, había accedido de manera ilícita a los perfiles de Facebook de 87 millones de usuarios, pudiendo así obtener valiosa información personal, que se utilizó y explotó para influir en la campaña presidencial de EE. UU. de 2016.
En este caso, los datos personales que se robaron se emplearon para identificar patrones de comportamiento, ideología y opiniones de los usuarios que se vieron afectados, para desarrollar estrategias de propaganda política con la que fuera más fácil influenciarles y manipularlos.
El de Facebook fue sin duda el caso de vulneración de la privacidad más relevante, pero no el único en el que se ha visto envuelta Cambridge Analytica, que ha empleado este tipo de técnicas en otros países.
– Yahoo
Dos años tardó Yahoo en informar que en 2014 había sufrido una brecha de seguridad que comprometió las cuentas de correo de 500 millones de usuarios (en España se vieron afectadas 1.500.000 cuentas). Este incidente dejó expuestos datos como direcciones de correo, contraseñas, fechas de nacimiento, números de teléfono, nombres y apellidos, entre otra información confidencial que pudo usarse para llevar a cabo otro tipo de ataques o fraudes (como phishing o suplantación de identidad).
El incidente en sí ya fue grave en lo que a privacidad digital de los usuarios de Yahoo supone, pero más grave fue que la compañía no anunciase esta brecha de seguridad hasta 2016, teniendo en cuenta los riesgos para la privacidad y seguridad de los usuarios que se vieron afectados.
– Quora
Quora es una de las plataformas de información más usadas junto a Wikipedia o Reddit, con millones de usuarios, lo que la convirtió en 2018 en objetivo de un ciberataque en el que su seguridad fue vulnerada, «permitiendo» el acceso no autorizado a información confidencial de, al menos, 100 millones de usuarios de la plataforma (más o menos la mitad de su base de usuarios en aquel año).
La compañía no entró en detalles, pero parece que el ataque tuvo como objetivo el robo de información personal: nombres, direcciones de correo electrónico, contraseñas (cifradas), datos importados de redes sociales, solicitudes de respuestas, votaciones y mensajes (contenido y acciones no públicos de la plataforma).
– Target
En 2013, la cadena minorista Target sufrió uno de los ciberataques más sonados de entonces, que afectó a 70 millones de sus clientes. Los cibercriminales no solo consiguieron información personal, como nombres, direcciones, correos electrónicos o números de teléfono, sino que unos 40 millones de los 70 afectados vieron también cómo les robaban sus datos bancarios.
El ataque a Target se llevó a cabo usando un malware PoS, o malware en el punto de venta, que afectó a los lectores de tarjetas bancarias y a las cajas registradoras de la compañía.
– Equifax
En 2017, Equifax, una empresa crediticia estadounidense, sufrió una brecha de seguridad que afectó a la información personal de 143 millones de sus clientes, lo que derivó en el robo de los datos personales que estos clientes había subido a la plataforma online de la compañía, que debía garantizar la seguridad y confidencialidad de los mismos.
Entre la información personal que fue robada había documentos de la seguridad social, pasaportes, carnets de conducir, así como otros documentos de identificación.
Equifax fue bastante más diligente que algunas de las compañías que estamos viendo en este artículo, porque reportó e hizo público el incidente de seguridad bastante rápido, para tratar de dar con los culpables.
– Marriott
La cadena hotelera Marriott es uno de los casos más graves de vulneración de la privacidad digital de los que hemos sido testigos, tanto por la cantidad de personas afectadas, 500 millones de clientes, como por el tiempo que duró el ataque, algo más de cuatro años, hasta que fue detectado.
De acuerdo con las declaraciones que hizo la compañía, la brecha de seguridad se produjo en 2014, muy posiblemente en la cadena de hoteles Starwood, que Marriott adquirió en 2016, momento en que la brecha no fue detectada, ya que eso ocurriría en noviembre de 2018.
La brecha de seguridad habría permitido a los cibercriminales acceder a una base de datos con información personal y financiera, acumulando más información confidencial con cada año que pasaba. Entre los datos afectados, nombres y apellidos, direcciones postales, números de teléfono, correos electrónicos, pasaportes, información de cuenta, fechas de nacimiento, sexo, llegadas y salidas, fechas de reserva y números de tarjetas de crédito, que, si bien estaban cifradas, la compañía no pudo asegurar que los cibercriminales no se hubiesen hecho también con las claves de descifrado de las mismas.
– Dropbox
Dropbox, la conocida plataforma de almacenamiento en la nube, sufrió en 2012 una brecha de seguridad, consecuencia de otra brecha de seguridad en LinkedIn, ya que la contraseña comprometida usada para llevar a cabo el ataque y acceder a la red interna de la compañía se obtuvo de un empleado de Dropbox, que la habría usado también en LinkedIn (esta es la razón por la que siempre insistimos en que deben usarse contraseñas diferentes para diferentes cuentas y nunca, nunca, usar la contraseña de la cuenta profesional o del trabajo en otro sitio).
Esta brecha de seguridad afectó a 68 millones de usuarios, se robaron cuentas de correo y contraseñas, aunque Dropbox no informó del robo de las contraseñas, sino que fue descubierto en 2016 por Leakbase. Cuatro años en los que los archivos que almacenaban los usuarios en sus cuentas de Dropbox estuvieron expuestos.
– Sony Pictures
Entre las diferentes brechas de seguridad notables que ha sufrido Sony y que han supuesto una vulneración de la privacidad de sus usuarios, tenemos la sufrida por Sony Pictures en 2014.
Esta división de la compañía sufrió un ciberataque en el que se robó información personal y financiera de empleados, así como de actores famosos (quizás lo recordéis más porque también se robaron películas y algunos estrenos y rodajes se vieron afectados). La información robada se empleó para realizar amenazas personales e intentos de extorsión. El FBI investigó el incidente y se concluyó que detrás del mismo estarían hackers de Corea del Norte.
– eBay
También en 2014, eBay sufrió un ciberataque perpetrado a través de cuentas de empleados comprometidas. El incidente de seguridad afectó a 145 millones de usuarios, a los que la compañía contactó unos meses después de que se produjera la brecha (ocurrió entre febrero y marzo y la notificación se hizo en mayo), para pedirles que cambiarán las contraseñas.
Entre la información confidencial que pudieron robar los cibercriminales, nombres de usuarios, contraseñas cifradas, direcciones de email, direcciones postales, números de teléfono y fechas de nacimiento.
LinkedIn sufrió en 2012 un ciberataque que en principio «solo» habría afectado a 6,5 millones de usuarios y supuesto el robo de contraseñas cifradas. Sin embargo, en 2016 se descubrió el verdadero alcance y gravedad de este caso de vulneración de la privacidad digital.
Una base de datos con 167 millones de cuentas robadas de LinkedIn se pusieron a la venta en la dark web, los datos robados incluían pares de direcciones de email y contraseña, lo que suponía un auténtico riesgo para los usuarios afectados, a los que LinkedIn solicitó que cambiaran sus contraseñas.
Al parecer, la brecha se produjo por la forma insegura en la que la red social almacenaba las contraseñas y la política de cifrado obsoleta que empleaba en aquel entonces, lo que permitió a los cibercriminales vulnerar las contraseñas inseguras de los usuarios (curiosamente, al analizar la base de datos robada, se descubrió que las tres contraseñas más usadas por los usuarios en esta red social eran: 123456, linkedin y password).
Extra: 5 grandes casos de privacidad digital vulnerada en España
Hasta ahora hemos visto los casos de privacidad digital vulnerada más grandes a nivel internacional, pero no queremos cerrar este artículo sin hacer mención de los 5 casos más graves experimentados en España:
– BBVA
En 2021, el BBVA notificó una brecha de seguridad que habría afectado a alrededor de 4 millones de clientes en España. Entre la información robada, información financiera, nombres y apellidos, direcciones postales, números de cuentas bancarias y números de teléfono.
– SEPE
Aunque no hemos llegado a conocer el alcance del ciberataque que sufrió el SEPE en 2021, se calcula que la información personal de millones de ciudadanos y usuarios de este servicio se vio afectada; nombres y apellidos, direcciones postales, números de teléfono, información financiera, etc.
– Orange
En 2014, Orange sufrió una brecha de seguridad que afectó a 1,3 millones de sus clientes, dejando al descubierto datos personales como nombres y apellidos, direcciones postales, correos electrónicos, números de teléfono e información sobre facturación, entre otros datos.
– Glovo
Más reciente es la brecha de seguridad que sufrió Glovo en 2020. Este incidente puso en riesgo los datos personales de miles de clientes y repartidores de la plataforma; nombres y apellidos, fechas de nacimiento, correos electrónicos, contraseñas cifradas, números de teléfono, direcciones postales, información de tarjetas bancarias (incluida fecha de caducidad y CVV), DNIs y números de cuentas bancarias.
– Air Europa
En 2018, Air Europa sufrió una brecha de seguridad que afectó a 489.000 de sus clientes y en la que se expusieron datos personales y bancarios (nombres y apellidos, números de tarjetas, direcciones y números de teléfono). En este caso, no fue la compañía quien detectó la brecha, sino el Banco Popular, que advirtió a Air Europa de posibles operaciones fraudulentas con tarjetas de crédito.
Los casos de privacidad digital vulnerada que hemos visto en este artículo, son solo un ejemplo de los miles que se han ido produciendo desde el año 2000. Ninguna empresa está exenta de ser víctima de un ciberataque, un descuido o una mala política de seguridad de la información y de las consecuencias económicas (las empresas de los casos citados sufrieron pérdidas millonarias) y reputacionales que tienen. La seguridad de la información y la ciberseguridad no pueden ser la asignatura pendiente de tu empresa, si quieres evitar las amenazas sobre la privacidad digital de tus clientes, empleados, socios, inversores o proveedores.