Cada vez que queremos usar o suscribirnos a un servicio en Internet, es necesario crear una cuenta de usuario, que normalmente está vinculada, como mínimo, a una dirección de correo electrónico y, a veces, a otros muchos datos personales. Por ello, cuando se produce una filtración de datos, podemos encontrarnos con un importante problema de ciberseguridad. En este artículo vamos a explicar qué es una filtración de datos y cómo saber si mi información personal está comprometida por culpa de esa filtración.
En este artículo hablamos de:
- ¿Qué es la filtración de datos?
- La filtración de datos, un problema de ciberseguridad habitual
- ¿Cómo comprobar una filtración de datos?
- ¿Cómo evitar las filtraciones de datos?
- ¿Qué hacer si mis datos han sido filtrados?
- Comprobar periódicamente si nuestros datos han sido filtrados es una buena idea
- Casos de filtración de datos famosos
¿Qué es la filtración de datos?
La filtración de datos es la transmisión no autorizada de datos confidenciales desde una entidad a uno o varios destinatarios externos. Puede producirse tanto con datos transferidos electrónica como físicamente, aunque actualmente, en la mayoría de los casos en que hablamos de una filtración de datos, esta se ha producido por medios electrónicos, es decir, mediante un ataque informático.
Así mismo, la filtración de información, también denominada exfiltración de información, puede afectar a todo tipo de datos confidenciales de una entidad, aunque lo que nos ocupa en este artículo es la filtración de datos personales, como son nombres de usuarios, contraseñas, datos bancarios, direcciones de correo electrónico, números de teléfono, etc.
La filtración de información personal o de información confidencial, tanto de particulares como de organizaciones, es una de las ciberamenazas más habituales y, como veremos más adelante, un incidente demasiado habitual, que suele dejar expuesta la información personal de miles de usuarios cada cierto tiempo.
La filtración de datos, un problema de ciberseguridad habitual
Correo electrónico, tiendas online, redes sociales, aplicaciones para móvil, juegos online, plataformas de streaming, la cuenta de la empresa, el servicio de banca online… Si usas cualquier servicio de Internet, tendrás creada como mínimo una cuenta de usuario, aunque la realidad es que probablemente tengas más de dos, tres o cuatro cuentas creadas. Probablemente, algunas de ellas comparten la misma dirección de correo electrónico y la misma contraseña o una contraseña similar.
Por ello, cuando se produce una brecha de seguridad y esos datos son robados, podemos encontrarnos con un serio problema, donde lo menos grave que puede pasarnos es recibir más spam del habitual.
Como decíamos, la filtración de datos personales se ha convertido en uno de los problemas de ciberseguridad más habituales y raro es el año en el que no salta alguna noticia sobre una filtración de datos masiva. A veces solo se trata de correos electrónicos, pero con cada vez más cuentas vinculadas a datos personales, la información personal que puede quedar expuesta es mucho mayor y preocupante.
Las filtraciones y robo de datos es solo el primer paso para que los ciberdelincuentes lleven a cabo otro tipo de fraudes, como suplantación de identidad, intentos de spear phishing o ataques de ransomware.
Las filtraciones de datos son algo que afecta tanto a nivel de usuario particular como a las empresas, donde los problemas pueden ser aún mayores, si los hackers consiguen acceder a la red interna de la compañía. Por esa razón es importante crear contraseñas seguras y diferentes para cada cuenta, para así evitar que los datos filtrados puedan afectar a todas nuestras cuentas de usuario.
Un dato en cifras; de acuerdo a Privacy Rights Clearinghouse, desde 2005 se han producido más de 11.000 millones de filtraciones de datos.
Las razones detrás de la filtración de datos siempre suelen estar relacionadas con motivaciones económicas, puesto que listados de datos, contraseñas e incluso de datos especialmente protegidos se venden en la dark web al mejor postor.
Y, aunque generalmente, esas filtraciones de datos se deben a ataques informáticos, a veces difíciles de evitar, no debemos olvidar que en ocasiones un empleado descontento o un ex-empleado puede robar en el trabajo datos personales de los clientes y venderlos, si tiene acceso a ellos.
¿Cómo comprobar una filtración de datos?
Comprobar una filtración de datos para saber si nuestra propia información personal ha sido expuesta no tiene por qué ser complicado, de hecho, y como veremos más adelante, en internet podemos encontrar algunas herramientas con las que podremos hacer estas comprobaciones.
Además, la normativa de protección de datos establece para las empresas la obligación de notificar si han sufrido una brecha de seguridad que haya podido dejar expuestos datos personales (esto ocurre, por ejemplo, cuando se roban bases de datos personales que no han sido cifradas). Por lo tanto, si nos llega una notificación de este tipo, deberemos tomar las medidas de seguridad oportunas (y que explicaremos más abajo).
Aun así, si no quiero esperar a recibir ese comunicado y tengo la sospecha de que mis datos han podido filtrarse, hay maneras de comprobar si mi contraseña ha sido hackeada o filtrada. Explicamos cómo a continuación.
Comprobar si mi contraseña ha sido filtrada
¿Cómo saber si mis contraseñas están filtradas? Es una pregunta frecuente en cualquier buscador de Internet, especialmente cada vez que se habla de filtraciones masivas, aunque las grandes compañías no son las únicas que sufren este tipo de ataques y filtraciones.
Existen diferentes webs donde podemos tanto ver contraseñas filtradas como emails filtrados, es decir, comprobar si aparecen en esos listados filtrados en Internet que mencionamos antes. Una de las más conocidas es Have i been pwned, una web muy sencilla que cruza nuestro email, número de teléfono o contraseña con su enorme base de datos (construida a través de las filtraciones que se han ido reportando con los años) y nos dice si alguna vez han aparecido y quedado expuestos en una filtración de datos.
Solo tenemos que introducir la dirección de correo electrónico que queremos comprobar, el teléfono o contraseña y la propia web nos informará; si el resultado es verde, no tendremos que preocuparnos de nada, pero si es rojo, querrá decir que nuestra información ha sido expuesta y nos dirá en qué filtraciones ha ocurrido.
Con un funcionamiento similar, también tenemos la página ¿Me han hackeado?, que nos informará de la misma forma si nuestros datos han sido filtrados en brechas de seguridad, cuándo y en qué sitios.
Herramientas para verificar cuentas filtradas
Dentro de las herramientas que nos pueden ayudar a saber si nuestros datos de usuario han sido filtrados o hackeados, tenemos Password Checkup (Revisión de contraseñas), que nos permite comprobar la seguridad de nuestras cuentas de Google o que tenemos asociadas a ellas, tanto de sitios online como de apps vinculadas.
Password Checkup nos informará si las contraseñas de nuestras cuentas están comprometidas y de si estamos usando contraseñas iguales para diferentes cuentas. Encontraréis este gestor de contraseñas en el apartado de seguridad de vuestra cuenta de Google.
¿Cómo evitar las filtraciones de datos?
Como usuarios, evitar las filtraciones de datos pasa por tomar medidas preventivas, ya que son las organizaciones que manejan y tratan nuestros datos las que deben aplicar las correspondientes medidas de seguridad técnicas y organizativas para prevenir y evitar los accesos no autorizados a su información confidencial.
Por lo tanto, para prevenir males mayores en una filtración de datos, como usuarios debemos:
- Utilizar contraseñas seguras y únicas para cada cuenta online que creemos.
- Usar un gestor de contraseñas.
- Mantener nuestro equipo y software actualizados.
- Tener instalada una solución de seguridad.
- Usar correos alternativos para registrarnos en webs o servicios que usemos de manera puntual.
Por su parte, entre las medidas de seguridad que pueden adoptar las organizaciones para prevenir la filtración de datos, destacamos:
- Implementar una política de protección de datos.
- Instalar una solución de seguridad de la información integral, que incluya detección y respuesta ante amenazas para endpoints.
- Aplicar un sistema de acceso con privilegios, que permita controlar el acceso a los datos.
- Tener una política de cambio de contraseñas periódico.
- Formar y concienciar en ciberseguridad a todos los empleados.
¿Qué hacer si mis datos han sido filtrados?
Utilicemos el medio que utilicemos para comprobar si nuestros datos han quedado expuestos en una nueva filtración, si descubrimos que de hecho se han filtrado, lo primero que debemos hacer es cambiar las contraseñas de aquellas cuentas que hayan podido quedar comprometidas.
Para asegurarnos, además, de que protegemos mejor nuestras cuentas ante futuras filtraciones, es altamente recomendable crear una contraseña segura diferente para cada cuenta de usuario. Existen webs y herramientas que nos pueden ayudar a crear este tipo de contraseñas, incluso aplicaciones con las que gestionarlas todas de manera segura y sin perder mucho tiempo.
Segundo, también es recomendable, si no lo estamos usando ya, activar la verificación multifactor, de manera que nuestra cuenta quede protegida por dos o más factores de comprobación, a los que solo podemos tener acceso nosotros. De esta forma, aunque alguien consiga nuestro correo electrónico y contraseña y pueda acceder a alguna de nuestras cuentas de usuario, habrá acciones que no podrá llevar a cabo, porque se le pedirá que introduzca alguna clave más que nos enviarán a nosotros (idealmente, a nuestro número de móvil).
Tercero, comprobar nuestras cuentas de usuario y nuestras cuentas bancarias, para asegurarnos de que no hemos perdido el control sobre ellas ni se han producido movimientos sospechosos.
Cuarto, denunciar el incidente ante las autoridades, para evitar posibles perjuicios futuros, en caso de que nuestra información personal se use para cometer algún fraude mediante suplantación de identidad.
Y, finalmente, si una filtración de datos nos ha producido algún perjuicio económico (imaginemos que ha quedado expuesto el número de nuestra tarjeta de crédito y se han producido gastos no autorizados) o se ha vulnerado nuestra privacidad, podremos reclamar alguna clase de compensación o indemnización a la empresa o compañía que haya sufrido la brecha de seguridad.
Además, en aquellos casos en que la compañía no haya informado debidamente de la brecha de seguridad y la consecuente filtración de datos, también podremos denunciarlo ante la Agencia Española de Protección de Datos (AEPD), para que se abra una investigación de lo sucedido y se impongan las sanciones oportunas.
Comprobar periódicamente si nuestros datos han sido filtrados es una buena idea
Generalmente, las filtraciones masivas de datos de compañías grandes o conocidas, siempre llegan a las noticias, pero como hemos dicho antes, empresas medianas o más pequeñas no se libran tampoco de este problema. Por ello resulta importante comprobar de manera periódica si nuestros datos han sido filtrados, de esa manera mantendremos mejor la seguridad de nuestras cuentas de usuario.
Una filtración de nuestra dirección de correo electrónico puede que no suponga un gran problema, más allá, como decíamos más arriba, de recibir más spam del habitual. Sin embargo, si lo que queda expuesta es nuestra contraseña, los problemas pueden ser mayores, puesto que muchas de nuestras cuentas de usuario contienen datos personales más sensibles, como nuestro nombre y apellidos, nuestro número de teléfono, nuestra dirección postal o nuestros datos bancarios.
En esos casos, los perjuicios que nos puede causar una filtración de datos son mucho mayores y graves, desde robos de cuenta y suplantación de identidad, hasta sustracción de dinero.
Así que lo mejor para prevenir esos problemas, es acostumbrarnos a comprobar si nuestro email o contraseña han sido filtrados con cierta periodicidad.
Casos de filtración de datos famosos
Finalmente, cerramos este artículo con algunos casos de filtración de datos famosos, que dejaron expuestos los datos personales de los usuarios en Internet.
Comenzamos con uno de los más recientes, la filtración de datos de Facebook ocurrida a comienzos de abril de 2021 y que ha dejado expuestos los datos personales de 533 millones de sus usuarios; entre los datos que han podido quedar revelados hay biografías, nombres, números de teléfono, direcciones de emails y contraseñas. El listado de datos filtrados de Facebook se publicó de forma gratuita en un foro de hacking, de manera que cualquiera con unos mínimos conocimientos podría usarlos para llevar a cabo otro tipo de acciones maliciosas.
Gmail y Outlook también protagonizaron una filtración masiva de datos en febrero de 2021, concretamente quedaron expuestos más de 3.270 millones de direcciones de correos y contraseñas. Estos pares de credenciales quedaron expuestos en varios foros de hackers y supusieron un auténtico problema para quienes reutilizan la misma contraseña para diferentes cuentas.
Remontándonos diez años en el pasado, en 2011 fuimos testigos de cómo no solo los ordenadores podían ser víctimas de este tipo de ataques. PlayStation Network sufrió una filtración que comprometió más de 77 millones de cuentas de usuario de la plataforma, dejando al descubierto nombres, direcciones postales, números de tarjeta, correos electrónicos, fechas de nacimiento, etc. El servicio tuvo que suspenderse durante 20 días y la compañía se vio obligada a compensar a todos los usuarios afectados.
Adobe también protagonizó una de las filtraciones de datos masivas más sonadas, que dejó al descubierto más de 150 millones de datos de usuarios, incluyendo direcciones de email y contraseñas, así como información de las tarjetas de crédito de 2,9 millones de usuarios. Los hackers consiguieron acceder a los servidores de la compañía, desde donde pudieron llevar a cabo el robo de datos.