Grandes dolores de cabeza de pequeños robos de datos

Hasta un fragmento de información puede divulgar una gran cantidad de su información personal—pero no espere que siempre le vayan a notificar de la amenaza.

Hasta principios de junio, AT&T tenía una herramienta en línea que ayudaba a los propietarios de la iPad 3G a inscribirse en su servicio móvil de Wi-Fi: Los usuarios escribían el número de serie de 19 dígitos de la tarjeta micro-SIM de su iPad, también conocido como el ICC-ID (identificador de tarjeta de circuito integrada) y el sitio devolvía la dirección de correo electrónico que el propietario tenía que usar para verificar la inscripción. AT&T usaba esa dirección para llenar un campo en el formulario de inscripción de la Web.

Un grupo de investigadores llamados Goatse Security reconoció un defecto, y creó una secuencia de comando que generaba aleatoriamente números de ICC-ID y los enviaba al sitio (find.pcworld.com/70346). Ellos recibieron unas 114.000 direcciones de correo electrónico, incluyendo las de Rahm Emanuel, el jefe de personal de la Casa Blanca, y las del alcalde de Nueva York, Michael Bloomberg. Goatse Security no llamó primero a AT&T, sino que esperó a que el sitio cambiara antes de proveer los números de serie y direcciones de correo al editor de Gawker.com, quien entonces reveló el defecto.

¿Deberían estas fugas de datos, aparentemente triviales, estar sujetas a las leyes de notificación actuales? Y de estarlo, ¿qué tan grave es la amenaza de robo de identidad cuando un atacante obtiene una dirección de correo electrónico y un número de serie?

Bajo la ley actual, AT&T no tenía que revelar la exposición de las direcciones ni de los números de serie. Dorothy Attwood, funcionaria principal de privacidad de AT&T alega en una disculpa a los clientes de la iPad 3G (find.pcworld.com/70347) que Goatse “deliberadamente hizo grandes esfuerzos con un programa aleatorio para extraer posibles ICC-IDs y capturar las direcciones de correo electrónico de los clientes”.

Attwood también advirtió que el sitio de AT&T no condujo directamente a información financiera ni de tipo personal. Aunque la revelación de la dirección de correo electrónico pudiera llevar a un aumento de correo indeseado, el ICC-ID en sí debería ser inútil. Sin embargo, hablando en la reunión SOURCE celebrada en Boston en el mes de abril, Nick DePetrillo y Don A. Bailey mostraron cómo los ICC-IDs empleados por AT&T pueden usarse para adivinar el número IMSI más importante (Identidad internacional de suscriptor móvil) de cada propietario de cuenta. Aunque es específico a los ataques en la red de teléfonos móviles GSM, la charla ofrecida por DePetrillo y Bailey (encuentre el PDF en find.pcworld.com/70348) demostró cómo los IMSI podrían contribuir a revelar la identidad del propietario y otros datos.

Los derechos de notificación

A partir de abril, 46 estados y tres territorios tenían leyes para notificar a los consumidores cuya información pudiera estar comprometida en robos de datos, según la Conferencia Nacional de Legisladores de Estados. (Ninguna cubre específicamente las fugas de datos de tarjetas de SIM). Alabama, Kentucky, Nuevo México y Dakota del Sur todavía no tienen estas leyes. No existe una ley federal de notificación, pero puede que estén trabajando en una. Una ley federal específica a los robos de datos relacionados con el cuidado de la salud (encuentre el PDF en find.pcworld.com/70349) se hizo realidad como parte de la Ley de Reinversión y Recuperación Estadounidense de 2009.

La mayoría de las leyes estatales reflejan la ley SB1386 aprobada en California en el año 2003, donde la “información personal” se define como el nombre y apellido, más cualquier combinación de número de seguro social, licencia de conductor, número de cuenta, o número de tarjeta de crédito o de débito con un código de seguridad o contraseña. Los robos de datos personales no cifrados deben revelarse a menos que estén bajo la investigación policial (en cuyo caso la divulgación pudiera demorarse). Los datos cifrados están exentos.

Una enmienda pendiente para el 2010 a la ley de California incluye mejoras que otros estados han hecho, como la descripción de los eventos de allanamiento de datos en la carta de notificación, una copia de la cual debe ser enviada a la oficina del fiscal general.

Protéjase usted mismo

Aunque la ley actualmente está tratando de ponerse al día, los consumidores pueden actuar por su cuenta. El sitio de la Comisión de Comercio Federal en find.pcworld.com/70350 indica cómo protegerse del robo de identidad y qué hacer si se convierte en una víctima.

Además, la ley de Transacciones de Crédito Justas y Correctas del 2003 permite a los consumidores recibir un reporte de crédito gratuito todos los años de cada una de las tres agencias de crédito. A veces los tres informes tienen discrepancias; con FACTA es más fácil para los consumidores corregir esos errores.

FACTA también introdujo herramientas de crédito para el consumidor. Una es una alerta de fraude que requiere que cualquiera que haga una indagación o cambio en su reporte de crédito tiene que llamarlo primero. Una congelación del crédito, una medida más drástica, impide que alguien acceda a su reporte de crédito sin que usted lo desbloquee. Congelar y descongelar su reporte de crédito tiene un costo; en algunos estados el costo de una congelación se perdona si usted ha sido víctima del robo y puede documentar el suceso. Ninguna de las herramientas le impide conseguir una copia de su reporte de crédito. Las compañías de hipotecas y otras que actualmente hacen negocios con usted también tienen acceso a su historial de crédito; sólo las nuevas indagaciones serán bloqueadas.

Aunque estas herramientas y leyes fueron diseñadas para lidiar con los robos de datos relacionados con el crédito, los datos personales ahora se escapan de formas nuevas y diferentes. Si los criminales pueden adivinar cómo las compañías de teléfono asocian la información de cuenta de los usuarios con los números de serie, entonces quizás se necesiten nuevas y mejores definiciones de lo que constituye un robo de datos. La lección aquí es que no hay un robo demasiado pequeño para causar dolores de cabeza importantes más tarde.

-Por Robert Vamosi

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.