Aproximadamente una de cada cuatro empresas reveló información personal a un hombre que había hecho una falsa demanda de acceso a los datos citando el Reglamento General de Protección de Datos (RGPD) de Europa.
Según el RGPD, los residentes en la UE tienen "derecho de acceso" a su información personal. Si un individuo exige toda la información que una empresa tiene sobre él, la empresa en cuestión debe cumplirlo.
Pero, ¿qué ocurre cuando el individuo es un estafador que se hace pasar por alguien que no es?
En este caso concreto, la pareja de la mujer era un experto en seguridad, que se puso en contacto con decenas de empresas británicas y estadounidenses para comprobar cómo responderían a una solicitud de "derecho de acceso" realizada en nombre de otra persona.
En cada caso, solicitó todos los datos que se tenían sobre su prometida.
En un caso concreto, la respuesta de una empresa incluía los resultados de una comprobación de actividades delictivas.
En otras respuestas, se proporcionaron datos de la tarjeta de crédito, así como detalles del viaje, nombres de usuario y contraseñas de las cuentas, y el número de la Seguridad Social estadounidense del interesado.
James Pavur, investigador de la Universidad de Oxford, presentó sus conclusiones en la reciente conferencia Black Hat, que tuvo lugar en Las Vegas. La prueba es la primera de este tipo diseñada para aprovechar el GDPR.
La Oficina del Comisionado de Información (ICO) acortó el tiempo que tienen las organizaciones para responder a las solicitudes de datos. Añadió nuevos tipos de información que las empresas deben proporcionar y aumentó la posible sanción por incumplimiento.
Un poco de conocimiento pero no un puro
Pavur dijo a la BBC:
Por lo general, si se trata de una empresa extremadamente grande -especialmente las tecnológicas- suelen hacerlo muy bien. ...Las empresas pequeñas tendían a ignorarme, pero el tipo de empresas medianas que conocían el GDPR, pero que quizá no tenían un proceso muy especializado [para gestionar las solicitudes], fracasaban.
Pavur se negó a identificar las organizaciones que habían gestionado mal las solicitudes, pero dijo que entre ellas había:
-
una cadena hotelera del Reino Unido que compartió un registro completo de las pernoctaciones de su pareja;
-
dos compañías ferroviarias del Reino Unido que facilitaron los registros de todos los viajes que había realizado con ellas durante varios años; y
-
una empresa educativa con sede en EE.UU. que entregó sus notas de bachillerato, el nombre de soltera de su madre y los resultados de una encuesta de antecedentes penales
Sin embargo, el Sr. Pavur ha nombrado algunas de las empresas que, según él, han tenido un buen rendimiento.
Dijo que incluían:
-
el supermercado Tesco, que había exigido una identificación con foto;
-
la cadena minorista nacional Bed Bath and Beyond, que había insistido en una entrevista telefónica; y
-
American Airlines, que había detectado que había cargado una imagen en blanco en el campo del pasaporte de su formulario online.
Un experto independiente, el Dr. Steven Murdoch, del University College de Londres, dijo que los resultados eran una "verdadera preocupación";
Enviar la información personal de alguien a la persona equivocada es una violación de datos tan grave como dejar una unidad USB sin encriptar por ahí u olvidarse de triturar papeles confidenciales.
La futura esposa del Sr. Pavur le dio permiso para realizar las pruebas y ayudó a redactar los resultados, pero por lo demás no participó en la operación. Así que para la correspondencia, el investigador creó una dirección de correo electrónico falsa para su pareja, con el formato "nombre-inicial del medio-apellido name@gmail.com".
Una carta de acompañamiento decía que, según el GDPR, el destinatario tenía un mes para responder.
Añadió que podía proporcionar documentos de identidad adicionales a través de un "portal seguro en línea" si era necesario. Se trataba de un engaño deliberado, ya que creía que muchas empresas carecían de ese servicio y no tendrían tiempo de crearlo.
Las solicitudes de acceso a los datos se realizaron en dos oleadas.
Para la primera mitad de los contactados, sólo utilizó la información detallada anteriormente. Pero para la segunda tanda, recurrió a los datos personales revelados por el primer grupo para responder a las preguntas de seguimiento.
La idea, dijo, era replicar el tipo de ataque que podría llevar a cabo alguien que empezara con los detalles que se encuentran en una página básica de LinkedIn u otro perfil público en línea.
Verificación inadecuada
Si la organización pedía un tipo de identificación "fuerte" -como el escaneo del pasaporte o del permiso de conducir-, el Sr. Pavur se negaba.
También decidió no crear falsificaciones de documentos más fáciles de falsificar.
Así, por ejemplo, no firmaría documentos diciendo que era el sujeto de los datos. Tampoco enviaba correos electrónicos con cabeceras falsas cuando se le pedía que escribiera desde la cuenta registrada de la víctima.
Pero intentó convencer a las empresas de que aceptaran documentos que, en teoría, serían fáciles de falsificar, pero que en este caso podrían proceder de su prometida.
Así, cuando un operador de trenes le pidió una fotocopia de un pasaporte, lo convenció de que aceptara en su lugar un sobre con matasellos dirigido a la "víctima".
En otro caso, una empresa de ciberseguridad aceptó una fotografía de un extracto bancario, que había sido tachado para que la única información que quedara a la vista fuera el nombre y la dirección del objetivo.
Image caption El Sr. Pavur dice que en un caso se aceptó un extracto bancario muy redactado. A veces, estos subterfugios eran innecesarios.
Una empresa de juegos en línea le pidió la contraseña de su cuenta. Pero cuando se le dijo que se había olvidado, el Sr. Pavur dijo que se revelaron los datos personales de su prometida de todos modos sin pedir una verificación alternativa.
Contraseñas reveladas
El Sr. Pavur dijo que finalmente se expusieron un total de 60 datos personales distintos sobre su novia. Entre ellos figuraba una lista de compras anteriores, 10 dígitos del número de su tarjeta de crédito, su fecha de caducidad y el emisor, y sus direcciones anteriores y actuales.
Además, una empresa de inteligencia de amenazas proporcionó un registro de nombres de usuario y contraseñas violados que tenía sobre su pareja. Estos seguían funcionando en al menos 10 servicios en línea, ya que ella había utilizado los mismos inicios de sesión para múltiples sitios.
En un caso, la carta de solicitud del RGPD se publicó en Internet después de haber sido enviada a una empresa de publicidad, lo que constituyó una violación de datos en sí misma. Contenía el nombre, la dirección, el correo electrónico y el número de teléfono de la prometida. "Por suerte, sólo contenía datos muy sencillos", dijo el Sr. Pavur. "Pero se podría imaginar que alguien enviara una carta con información más detallada".
En total, de las 83 empresas de las que se sabe que tienen datos sobre su socio, el Sr. Pavur dijo:
24% suministró información personal sin verificar la identidad del solicitante
16% solicitó un tipo de identificación fácilmente falsificable que no proporcionó
39% pidió un tipo de identificación "fuerte"
5% dijo que no tenía datos para compartir, aunque la prometida tenía una cuenta controlada por ellos
3% malinterpretó la solicitud y dijo que habían borrado todos sus datos
13% ignoró la solicitud por completo
Fuentes: Portal informático, Noticias de la BBC
