4 de las peores filtraciones de datos de todos los tiempos
Desde el comienzo de la proliferaci贸n de datos a gran escala a principios de la d茅cada de 2000, ha habido m谩s de 4000 violaciones de datos de alto perfil, y hasta ahora se han filtrado o robado casi mil millones de datos de personas.
Las violaciones de datos son peligrosas no solo por su efecto en la privacidad del usuario, sino tambi茅n porque pueden terminar siendo la diferencia entre la vida y la muerte de una empresa. La importante p茅rdida financiera, as铆 como de imagen, causada por una violaci贸n de datos, es un abismo que muchas empresas no pueden cruzar con 茅xito.
Hoy, echemos un vistazo a las peores violaciones de datos de la historia y sus implicaciones.
1. 2018 Marriott International: servidores comprometidos
El ataque detr谩s de esta violaci贸n de datos, una de las m谩s insidiosas de esta lista, comenz贸 en 2014, cuando los servidores de la actual marca Starwood de Marriott se vieron comprometidos. Si bien Starwood era una entidad independiente en ese entonces, fue adquirida por Marriot en 2016 junto con sus servidores de registros comprometidos a煤n no descubiertos.
Este truco fue especialmente preocupante debido a la naturaleza de los datos robados. La informaci贸n personal filtrada de casi 500 millones de clientes inclu铆a nombres, direcciones, n煤meros de tarjetas de cr茅dito, n煤meros de tel茅fono y tambi茅n premios m谩s raros para piratas inform谩ticos, como n煤meros de pasaporte, lugares de viaje y fechas de viaje personales de los clientes.
Marriott International termin贸 enfrentando una demanda colectiva y vio una ca铆da instant谩nea del 5.6 por ciento en su patrimonio neto como resultado de la infracci贸n. A principios de 2020, hab铆a pagado casi $ 350 millones en compensaci贸n a los usuarios cuyos datos estaban expuestos.
2. 2019 Facebook: extremos sueltos en protocolos de seguridad
En 2019, Facebook sufri贸 un par de incidentes de seguridad rid铆culos que expusieron colectivamente la vulnerabilidad de la red social m谩s grande del mundo.
La primera parte involucr贸 una filtraci贸n de casi 50 millones de credenciales de usuario de Instagram en l铆nea. Los datos del usuario, almacenados en un archivo de texto sin formato en un servidor web al que se puede acceder mediante tokens web, no fueron m谩s que elecciones f谩ciles para los sofisticados grupos de piratas inform谩ticos a los que generalmente se dirige Facebook.
La siguiente filtraci贸n de datos, una m谩s compleja, vio m谩s de 540 millones de registros de usuarios de Facebook expuestos p煤blicamente en el servicio de computaci贸n en la nube de Amazon. Dos sitios de terceros ('At the Pool' y 'Cultura Colectiva') almacenaron informaci贸n del usuario vinculada a sus cuentas de Facebook en bases de datos desprotegidas en los servidores web de Amazon.
Esto significaba que alguien que intentara acceder a la base de datos de At the Pool o Cultura obtendr铆a inadvertidamente acceso a los datos de Facebook a trav茅s de una laguna de seguridad. Las bases de datos expuestas conten铆an n煤meros de tel茅fono personales, ID de Facebook y contrase帽as, as铆 como informaci贸n demogr谩fica sensible como g茅nero y orientaci贸n sexual.
Junto con una ligera ca铆da en el desempe帽o del mercado de valores de Facebook, la noticia de las debacles de violaci贸n de datos de 2019 empeor贸 la opini贸n p煤blica de Facebook y aliment贸 las investigaciones del gobierno sobre c贸mo la compa帽铆a maneja los datos de sus usuarios.
3. Primera corporaci贸n financiera estadounidense de 2019: datos en juego
En esta filtraci贸n de datos que fue causada por una laguna de autenticaci贸n, se filtraron casi 885 millones de registros financieros en total.
En pocas palabras, First American almacen贸 los registros confidenciales de sus usuarios mediante el uso de enlaces web 煤nicos y dif铆ciles de adivinar. No hab铆a protecci贸n con contrase帽a ni cifrado de datos de ning煤n tipo. Si tuviera el tiempo y los recursos para adivinar un enlace web, podr铆a obtener acceso instant谩neo a un registro en los servidores de la empresa. Los piratas inform谩ticos, al automatizar el proceso de generaci贸n de estos enlaces web, que segu铆an un patr贸n determinado, lograron acceder a casi toda la informaci贸n de los clientes de First American.
Esta violaci贸n de datos es especialmente famosa por la sensibilidad de los datos que filtr贸. En la infracci贸n, los piratas inform谩ticos obtuvieron acceso a extractos bancarios, registros hipotecarios y fiscales, n煤meros de seguro social e im谩genes de licencias de conducir.
Como resultado de la filtraci贸n de datos, la empresa no solo perdi贸 una buena parte de su base de consumidores, sino que tambi茅n fue el receptor de una demanda colectiva. Actualmente, tambi茅n est谩 siendo investigado por los reguladores por violaciones a las leyes que requieren que los bancos y otras empresas de servicios financieros implementen y mantengan protocolos de ciberseguridad.
4. 2013 Yahoo: desastre no detectado
Por 煤ltimo, pero no menos importante, el t铆tulo no deseado pero bien merecido de la peor violaci贸n de datos del mundo va a este evento de 2013, en gran parte porque logr贸 pasar desapercibido durante casi tres a帽os.
En septiembre de 2016, Yahoo anunci贸 que la informaci贸n de sus 3 mil millones de cuentas de usuario fue robada por piratas inform谩ticos tres a帽os antes en 2013. La compa帽铆a solo pudo detectar la violaci贸n cuando vio que sus datos de usuario se vend铆an en foros y mercados clandestinos de piratas inform谩ticos.
En lo que se especul贸 que era un hackeo respaldado por grupos de hackers rusos, se robaron datos que inclu铆an nombres, direcciones de correo electr贸nico, n煤meros de tel茅fono, fechas de nacimiento, contrase帽as encriptadas y, en algunos casos, incluso preguntas de seguridad.
La filtraci贸n de dicha informaci贸n fue desastrosa no solo porque dio a los piratas inform谩ticos acceso a las cuentas de Yahoo, sino que tambi茅n filtr贸 las conexiones de los usuarios con sus bancos, perfiles de redes sociales, otros servicios financieros y amigos y familiares.
Para empeorar las cosas, m谩s de 150.000 cuentas gubernamentales y militares de Estados Unidos se encontraban entre las v铆ctimas de la violaci贸n de datos. Desafortunadamente para Yahoo, esta noticia no podr铆a haber llegado en peor momento. Fueron solo dos d铆as hasta la firma de la adquisici贸n de Yahoo por parte de Verizon cuando los detalles de la peor violaci贸n de datos de la compa帽铆a llegaron a los titulares.
El evento no solo arroj贸 una nube de incertidumbre sobre el futuro del acuerdo, sino que tambi茅n oblig贸 a Yahoo a realizar cambios organizativos y estructurales dr谩sticos antes de poder llamarse a s铆 mismo digno del mercado. Finalmente, el acuerdo se retras贸 casi un a帽o y el incidente redujo casi $ 350 millones el precio de venta de Yahoo.
Yahoo tambi茅n enfrent贸 23 demandas de alto perfil y varios miles de demandas m谩s peque帽as por parte de sus usuarios. Finalmente termin贸 pagando casi $ 150 millones en pagos legales y compensaciones.
Lo que puede aprender de las peores violaciones de datos de la historia
Por muy aterradores e inquietantes que sean, estos incidentes son simplemente la punta del iceberg. Si bien las empresas responsables de la p茅rdida de datos de los usuarios pueden enfrentar consecuencias a corto plazo, eventualmente pueden recuperarse recuperando la confianza del p煤blico y reparando sus p茅rdidas financieras.
Sin embargo, el impacto en los usuarios podr铆a ser m谩s adverso y a largo plazo. Mientras los datos de los usuarios est茅n disponibles gratuitamente en foros y mercados clandestinos, las personas seguir谩n siendo v铆ctimas del robo de identidad, el robo de bancos e incluso el chantaje. Con la web oscura descentralizada, es probable que haya una gran cantidad de tales plataformas en el futuro previsible.
La iron铆a de tener la comodidad de una experiencia en l铆nea altamente personalizada es que nuestros datos m谩s personales e importantes a menudo est谩n a la protecci贸n de completos extra帽os.
La mejor manera de proteger los datos del usuario no es confi谩ndolos en una capa a capa de encriptaciones o firewalls, sino una gesti贸n responsable de la propia informaci贸n privada: monitoreando y regulando la informaci贸n que revelamos y d贸nde la revelamos.