La mayoría de nosotros conoce la famosa cita de Benjamin Franklin...

"En este mundo nada puede decirse que sea seguro, excepto la muerte y los impuestos".

Eso podía ser cierto en la época de los Padres Fundadores, pero en la era digital de hoy hay una nueva certeza...

... ¡Las violaciones de datos!

En lo que va de año, hemos sido testigos de una creciente lista de violaciones de datos que han causado estragos en todo el mundo. Pero mientras los periódicos han informado sobre todo de las filtraciones relacionadas con los datos financieros, muchos grupos de ciberdelincuentes están apuntando ahora a la fruta fácil de conseguir, como los servicios sanitarios y sociales. De forma alarmante, en 2019 se han producido múltiples violaciones de datos que se han cobrado víctimas en el sector sanitario.

La historia reciente nos ha demostrado que la mayor consecuencia de la mayoría de las violaciones de datos es el robo de identidad.

Los piratas informáticos sólo necesitan unos pocos datos personales, como la fecha de nacimiento, el número de la seguridad social y la dirección residencial, para explotar su información con el fin de obtener préstamos y tarjetas de crédito, o para utilizar sus datos en ataques de phishing más sofisticados.

Además, los ladrones de datos también pueden acceder a las cuentas online que han pirateado, y recopilar mensajes e imágenes privadas. Las únicas limitaciones a lo que estos delincuentes pueden hacer con tus datos personales son sus habilidades técnicas y creativas, además de una gran dosis de audacia.

En consecuencia, los más prudentes hacen todo lo posible para mantenerse a salvo, sin olvidar que si nuestros datos están en el ciberespacio, también es muy probable que en algún lugar un pirata informático esté intentando poner sus sucias manos en nuestros datos.

Rebobinemos hasta el comienzo de 2019. Ciertamente, no tardó mucho en llegar a los titulares la primera violación de datos del año.

El 2 de enero de 2019, Abine, la empresa que está detrás del gestor de contraseñas Blur y del servicio de protección de la privacidad online DeleteMe, anunció una importante filtración de datos que comprometió los datos personales de casi 2,4 millones de usuarios de Blur. Los hackers accedieron a un servidor no seguro y expusieron un archivo que contenía 2,4 millones de nombres de usuario, direcciones de correo electrónico, sugerencias de contraseñas, direcciones IP y contraseñas cifradas.

Está claro que 2019 se perfila como un año histórico en lo que a filtraciones de datos se refiere. En el momento de escribir este artículo, se han producido más de 3.800 filtraciones, lo que supone un aumento del 50% en los últimos cuatro años, según un informe publicado por Risk Based Security en agosto.

Hemos seleccionado 3 ejemplos de los peores incidentes de violación de datos de cada mes en lo que va de año.

16 de enero de 2019: Quincena

Un fallo dentro del videojuego online Fortnite expuso a los jugadores a ser hackeados. Según la empresa de seguridad Check Point, que descubrió las vulnerabilidades, un actor amenazante podría hacerse con la cuenta de cualquier jugador del juego, ver la información de su cuenta personal, comprar V-bucks (moneda del juego) y espiar las conversaciones del juego. Fortnite tiene 200 millones de usuarios en todo el mundo, de los cuales 80 millones están activos cada mes.

23 de enero de 2019: Sitios de apuestas en línea

Tres sitios de apuestas en línea copiaron datos que contenían 108 millones de registros al almacenamiento en la nube de Elasticsearch sin asegurarlo. Si has realizado apuestas a través de kahunacasino.com, azur-casino.com, easybet.com o viproomcasino.net, es probable que tu información haya quedado expuesta, incluyendo: nombres, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, nombres de usuario, saldos de cuentas, direcciones IP, detalles del navegador y del sistema operativo, juegos jugados e información sobre ganancias y pérdidas.

23 de enero de 2019: Departamento de Salud y Servicios Sociales de Alaska

Un ciberataque dirigido a División de Asistencia Pública de Alaska ha expuesto datos sobre al menos 100.000 personas. El atacante pudo acceder a los nombres, números de la Seguridad Social, fechas de nacimiento, direcciones, información sanitaria e ingresos de las personas que solicitaron programas gubernamentales.

15 de febrero de 2019: T500px

Las cuentas de 14,8 millones de usuarios de 500px ha sido hackeadoLa página web para compartir fotos ha notificado a los usuarios que está obligando a restablecer las contraseñas. El sitio web para compartir fotos ha notificado a sus usuarios y está obligando a restablecer la contraseña.

20 de febrero de 2019: Coinmama

Los nombres de usuario y las contraseñas cifradas de 450.000 usuarios de Coinmama fueron publicadas recientemente en un registro de la web oscura. El broker de criptomonedas ha notificado a sus clientes y ha animado a todos los usuarios a cambiar sus contraseñas.

1 de marzo de 2019: Dow Jones

Una base de datos que contiene 2.418.862 registros de identidad sobre funcionarios y políticos de todos los países del mundo se filtró en Internet desde un Lista de vigilancia del Dow Jones. La lista de vigilancia se elabora a partir de la información disponible públicamente sobre personas destacadas con capacidad para malversar dinero, aceptar sobornos o blanquear fondos.

20 de marzo de 2019: Zoll Medical

La información personal de 277.319 pacientes ha sido expuesta por una violación de datos de Zoll Medical. El fabricante de dispositivos médicos con sede en Chelmsford, MA, anunció que se filtraron datos de correos electrónicos durante una migración de servidores, incluyendo nombres, direcciones, fechas de nacimiento e información médica. Algunos pacientes también tienen su SSN expuesto.

22 de marzo de 2019: Agencia Federal de Gestión de Emergencias (FEMA)

Los supervivientes que buscaron ayuda para refugiarse tras los huracanes María e Irma, así como los incendios forestales de California, han visto expuesta su IIP en un Incidente de privacidad de la FEMA. Alrededor de 2,5 millones de víctimas de la catástrofe compartieron información como nombres y direcciones, datos de cuentas bancarias y fechas de nacimiento con un contratista, dejándolos desprotegidos.

2 de abril de 2019: Facebook

Dos aplicaciones de terceros que mantienen Los conjuntos de datos de Facebook quedaron expuestos al público en línea. Más de 540 millones de registrosEn el caso de Cultura Colectiva, se expusieron los nombres de las cuentas, el ID de Facebook y la actividad de los usuarios. La segunda aplicación, At the Pool, reveló contraseñas junto con información relativa a fotos, eventos, grupos, check-ins y más.

15 de abril de 2019: Ciudad de Tallahassee

Casi $500.000 de los ciudad de Tallahassee La nómina de los empleados fue robada por piratas informáticos que redirigieron los depósitos directos a una cuenta no autorizada. Los funcionarios municipales encargados de investigar el incidente sospechan que el ciberataque provino de una nación extranjera.

19 de abril de 2019: Pasos para la recuperación

Los pacientes que buscan tratamiento para el abuso de drogas y alcohol han visto expuesta su información personal sensible en un violación de datos de varios centros de rehabilitación de adicciones. Los datos fueron descubiertos sin protección por el investigador de seguridad, Justin Paine. Aproximadamente 145.000 pacientes se han visto afectados.

3 de mayo de 2019: AMC Networks

La información personal de 1,6 millones de suscriptores de las plataformas de vídeo premium de AMC NetworkEl caso de los servicios de suscripción a la televisión, Sundance Now y Shudder, se dio a conocer después de que la base de datos de la empresa quedara accesible al público. La filtración incluía nombres, direcciones de correo electrónico, detalles sobre los planes de suscripción y los cuatro últimos dígitos de las tarjetas de crédito. La base de datos expuesta también incluía datos de análisis de vídeo recopilados por Youbora, lo que añadió 441.943 registros expuestos incluyendo las direcciones IP de los usuarios, el país, la ciudad, el estado, el código postal y las coordenadas de ubicación.

14 de mayo de 2019: WhatsApp

Facebook se enfrenta a otro escándalo de privacidad de datos después de un Violación de datos de WhatsApp. La aplicación de mensajería, que cuenta con más de 1.500 millones de usuarios en todo el mundo, experimentó un fallo de seguridad que dejó a las personas vulnerables a un software espía diseñado por el Grupo NSO, una agencia de vigilancia del gobierno israelí. Los afectados habrían podido ser espiados a través del micrófono y la cámara de su teléfono, los mensajes de WhatsApp y las apps conectadas.

20 de mayo de 2019: Instagram

Más de 49 millones de influencers, celebridades y marcas de Instagram han visto expuesta su información privada de contacto después de que una empresa de marketing de redes sociales con sede en la India dejara los datos sin protección en una base de datos de Amazon Web Services. TechCrunch informó que la biografía, la foto del perfil, la ubicación, el estado de verificación, la dirección de correo electrónico y el número de teléfono de las cuentas de alto perfil estaban expuestos.

6 de junio de 2019: Opko Health

Otra empresa relacionada con la sanidad se ha visto afectada por el hackeo de American Medical Collection Agency (AMCA), que comprometió a Quest Diagnostics y LabCorp. Opko Health anunció una violación de datos que afectaba a 422.600 clientes. Se expusieron datos de tarjetas de crédito y cuentas bancarias, direcciones de correo electrónico, direcciones, números de teléfono e información sobre saldos.

11 de junio de 2019: Evite

Más de 100 millones de usuarios de la empresa de servicios de planificación de eventos en línea, EviteLa información de los usuarios se ha puesto a la venta en la web oscura. Un pirata informático conocido como Gnosticplayers ha publicado nombres de usuario, direcciones de correo electrónico, direcciones IP y contraseñas en texto claro. En algunos casos, también se incluyeron fechas de nacimiento, números de teléfono y direcciones postales.

12 de junio de 2019: Evernote

Una vulnerabilidad de seguridad dentro de Extensión para Chrome de Evernote Web Clipper dio a los hackers acceso a los datos en línea de su 4,6 millones de usuarios. La autenticación, las finanzas, las comunicaciones privadas y otros datos podrían haber sido accedidos por actores maliciosos aprovechando un fallo en el código de Evernote. La empresa ya ha corregido el problema, pero no está claro durante cuánto tiempo se han visto comprometidos los datos de los usuarios.

10 de julio de 2019: Departamento de Servicios de Salud del Condado de Los Ángeles

Un contratista del Departamento de Servicios de Salud del Condado de Los Ángeles fue víctima de un ataque de phishingexponiendo la información personal de 14.600 pacientesincluyendo nombres, direcciones, información del paciente y números de la seguridad social.

17 de julio de 2019: Laboratorios de patología clínica (CPL)

Otro laboratorio clínico informó de que la información personal de sus pacientes se había visto comprometida tras la filtración de datos de AMCA de la que se había informado anteriormente, poco después de que el Quest Diagnostics, LapCorp y Opko Health las violaciones de datos. Laboratorios de patología clínica (CPL) divulgado 2,2 millones de pacientes se expusieron sus nombres, direcciones, números de teléfono, fechas de nacimiento, fechas de servicio, información sobre el saldo y la información del proveedor de tratamiento y otros 34.500 pacientes se ha visto afectada la información de la tarjeta de crédito o del banco.

29 de julio de 2019: Departamento de Personal de Los Ángeles

Un hacker ha robado información personal de unos 20.000 agentes del Departamento de Policía de Los Ángelesde la UE, los reclutas y los solicitantes de la Departamento de Personal de Los Ángeles Programa de solicitud de candidatos. Los datos comprometidos incluían nombres, fechas de nacimiento, números parciales de la seguridad social, direcciones de correo electrónico y contraseñas de cuentas de candidatos.

5 de agosto de 2019: Poshmark

El mercado en línea, PoshmarkPoshmark ha anunciado en un blog que un hacker ha accedido a los nombres, nombres de usuario, géneros, datos de la ciudad, direcciones de correo electrónico, preferencias de tamaño y contraseñas codificadas de sus usuarios. Poshmark tiene más de 50 millones de usuarios pero no ha confirmado cuántos se han visto afectados por la brecha.

14 de agosto de 2019: Hy-Vee

Hy-Vee informó de una violación de la seguridad de su sistema de punto de venta (PoS), que afectó a los consumidores que hicieron compras en los surtidores de combustible de Hy-Vee, en las cafeterías drive-thru y en los restaurantes (Market Grilles, Market Grille Express y Wahlburgers.) La empresa dice que los hackers no accedieron a los sistemas PoS independientes que gestionan sus tiendas de comestibles, farmacias o tiendas de conveniencia. Nueve días después, KrebsonSecurity descubrió 5,3 millones de cuentas de tarjetas de crédito y débito robadas vinculadas a la brecha de Hy-Vee estaban a la venta en la Dark Web bajo el nombre de "Solar Energy" Breach.

21 de agosto de 2019: MoviePass

Información personal y de tarjetas de crédito de 58.000 abonados al servicio de suscripción de entradas de cine, MoviePassse dejaron sin seguridad en un servidor que no estaba protegido por contraseña. Los clientes de MoviePass reciben tarjetas que funcionan como tarjetas de débito. Los nombres, las direcciones, el número de la tarjeta de débito de MoviePass, la fecha de caducidad de la tarjeta, el saldo de la tarjeta y la fecha de activación se vieron afectados por esta filtración.

 

 

Violación de datos - ataque de phishing.jpg
Violación de datos - ataque de phishing.jpg

5 de septiembre de 2019: Facebook

Un servidor no protegido que contenga más de 419 millones de registros de usuarios de Facebook se descubrió, dando a los hackers acceso a la identificación única de los usuarios de Facebook y a sus números de teléfono. En algunos casos, también se incluían los nombres de los usuarios, su sexo y su ubicación.

16 de septiembre de 2019: Dealer Leader, LLC.

La información personal de 198 millones de posibles compradores de coches quedó expuesta en una base de datos no segura perteneciente a Líder de los concesionariosuna empresa de marketing digital para concesionarios de automóviles. La información expuesta incluía nombres, direcciones de correo electrónico, números de teléfono, direcciones particulares y direcciones IP.

30 de septiembre de 2019: Zynga

Más de 218 millones de jugadores de los populares juegos para móviles Draw Something y Words With Friends, creados por el fabricante de juegos para móviles ZyngaEl hacker Gnosticplayers accedió a la información de sus cuentas. El hacker accedió a una base de datos que incluía datos de jugadores de Android e iOS, como nombres, direcciones de correo electrónico, ID de inicio de sesión, contraseñas cifradas, números de teléfono, ID de Facebook e ID de cuentas de Zynga.

 

Fuentes: Seguridad basada en el riesgo (informe), Fuerza de la Identidad

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.