Si una compañía es negligente con sus datos, no hay mucho que usted pueda hacer. Pero la mejor práctica sigue siendo mantener su máquina bien protegida.
Los periodistas prefieren reportar las noticias desde una distancia prudente, para no perder la perspectiva de los eventos. Aunque de vez en cuando, un reportero tiene una conexión más personal con la historia—y la experiencia le sirve para abrirle los ojos. El editor auxiliar de PC World, Nick Mediati, se encontró recientemente en esa posición nada envidiable al enterarse de que una base de datos en la clínica de la Universidad de California, Berkeley, había sido allanada, revelando datos privados de estudiantes actuales y antiguos, sus cónyuges y padres.
[<img border="0" src="/pcwla2.nsf/0/F0779591C582A0AA852575E200792A2F/$File/4seguridadjul09.gif">]
Mediati se graduó de UC Berkeley en 2006, lo que significaba que él era una de las víctimas del delito.
Se enteró del problema (vea “La Universidad de California es víctima de un importante robo de datos”, en la página 36) cuando un compañero de clase, que había recibido un correo electrónico de la escuela, le avisó del problema. “Qué ironía”, él recuerda. “Yo que soy un editor de PC World, dedicado a cubrir los asuntos de seguridad, y ahora soy víctima de un allanamiento de datos”.
Pero después de todo, en este tipo de ataque, no hay nada que los usuarios ordinarios pueden hacer, por lo menos para impedir el allanamiento inicial. Los que custodian los datos son la primera y la última línea de defensa. Ellos fallaron—espectacularmente, en este caso. El allanamiento ocurrió en octubre de 2008 y no se descubrió hasta abril de 2009.
PROBLEMAS CON LA NOTIFICACIÓN
La universidad envió mensajes de correo electrónico a todas las personas afectadas, pero como sus registros tenían una dirección de correo electrónico de Mediati ya vieja, no recibió advertencia alguna. No obstante, una vez enterado del asunto, puso rápidamente una alerta de fraude en su reporte de crédito y luego se puso a escribir sobre los detalles de este desastre.
Quizás lo más inesperado de esta triste historia fue el lugar donde ocurrió el robo. A nadie le sorprende cuando los criminales persiguen bancos, compañías de tarjetas de crédito y entidades similares. ¿Pero la clínica de una universidad? “De todos los métodos posibles de ataque, este parece muy extraño”, dice Mediati. Sin embargo, los registros de salud pueden contener números de seguro social, direcciones, e información sobre los padres, incluyendo en ocasiones el nombre de soltera de la madre.
Esa es la información jugosa que busca un ladrón de identidad, quien—según el editor contribuyente Erik Larkin, autor de “El crimen organizado se mueve al robo de datos” (vea la página 33)—seguramente es un criminal peligroso. “Tenemos a los sindicatos de crimen tradicional, especialmente la mafia rusa, que se han mudado al crimen cibernético”, informa él. Encima, hay grupos más o menos organizados, gente que se encuentran en el mercado negro de las “tarjetas” en la Web para traficar la información robada.
Los sitios de tarjetas y otros similares proveen una serie de servicios ilícitos a los malhechores. Por ejemplo, los criminales pueden comprar o vender datos robados, o pueden encontrar una “mula” que acepte la entrega de los artículos comprados con un número de tarjeta de crédito robado. Estos sitios de mulas incluso se ocupan de revender las mercancías y de dar una parte de las ganancias al ladrón de la tarjeta de crédito.
Pero el robo de tarjetas de crédito es cada vez menos lucrativo, según Larkin. “Hay tantos números de tarjeta de crédito por ahí”, dice él, que hay más dinero en robar otros datos, “como un PIN para sacar dinero directamente de un cajero automático”. El allanamiento de UC Berkeley es un ejemplo de los nuevos tipos de oportunidades—más allá de las instituciones financieras convencionales—que los cibercriminales persiguen.
LA SEGURIDAD PERSONAL IMPORTA
La lección que podemos aprender de toda esta actividad delictiva es que nosotros, los usuarios, ya no somos el eslabón más débil en la cadena de la seguridad. Esa distinción pertenece a las instituciones más grandes y más arriba en la cadena.
Aún así, explica Larkin, los allanamientos de datos son meramente una de las muchas amenazas potenciales que existen por ahí, por lo tanto sigue siendo crítico mantener su propia computadora limpia y segura. Sí, es frustrante no poder hacer nada si una compañía que guarda sus datos no hace las cosas bien y deja que alguien en Estonia eche mano a sus datos. Pero si usted sigue algunas reglas básicas y se mantiene vigilante con sus cuentas, puede disminuir drásticamente su riesgo. Y en la seguridad, la primera prioridad es reducir el riesgo.
-Steve Fox es el director editorial de PC World.