De acuerdo a una
publicación de BleepingComputer, se han encontrado los datos de 92 millones de
brasileños expuestos y a la venta en foros de la Deep Web.
Tal y como se
especifica en el reporte, la subasta estaba disponible en múltiples mercados de
la Deep Web a la que solamente se podía acceder pagando una pequeña cantidad de
dinero o mediante invitación de alguien que tuviera una cuenta activa en dichos
portales webs.
16 GB de datos de
usuarios brasileños clasificados en una base de datos SQL que se ofrecía por
una puja inicial de 15.000 dólares y una sobrepuja de 1.000 dólares
adicionales.
Esta base de datos
contenía: nombres, fechas de nacimiento, IDs de contribuyentes y alguna
información extra sobre direcciones, el sexo o el nombre de la madre de cada
víctima.
El origen de la base
de datos no es claro, aunque por la información del ID del contribuyente u otra
información única de la persona, hace pensar que el origen sea una base de
datos gubernamental de aproximadamente 93 millones de ciudadanos que
actualmente se encuentran empleados.
La fuga de
información es bastante grande, y más, cuando se observa que, según datos
demográficos como los presentados en la anterior captura, la población de
Brasil es de unos 210 millones de personas mientras que la fuga es de 92
millones (más del 43% de la población). Es decir, casi la mitad de la población
brasileña se ha podido ver afectada por esta subasta de información personal.
Bajo el Artículo 18
de la Ley General de Protección de Datos de Brasil, los ciudadanos tienen
derechos asociados a sus datos, por lo que las organizaciones tienen el deber
de asegurar que su información está anonimizada, redactada y eliminada.
Desafortunadamente, esta Ley no entra en vigor hasta agosto de 2020.
Jonathan Deveaux ,
Jefe de Protección de Datos empresariales con Comforte AG considera que en el
futuro, las empresas deberían depender más de métodos como los de tokenización
para proteger datos de los ciudadanos. Tal y como Jonathan Deveaux dijo:
«Una buena práctica
emergente entre muchos líderes tecnológicos es adoptar un enfoque de seguridad
centrado en los datos, que protege los datos personales con tecnología de
anonimización como la tokenización.
La tokenización no
solo permite que las organizaciones cumplan con los requisitos de cumplimiento
y permanezcan seguras, sino que la tokenización también permite que las organizaciones
adopten de forma segura la tecnología moderna, como la computación híbrida o en
la nube».
Esta fuga de
información sirve para mantener una actitud escéptica con respecto a cómo se
están realizando, por ejemplo, las transferencias bancarias en compras online,
puesto que con la última normativa PSD2, muchas entidades bancarias han optado
por utilizar SMS para acceder o verificar pagos, algo que posiblemente no sea
lo más seguro (sobre todo teniendo en cuenta noticias como las de SimJacker).
Más información:
- Publicación de BleepingComputer https://www.bleepingcomputer.com/news/security/details-of-92-million-brazilians-auctioned-on-underground-forums/
- Datos demográficos de Brasil https://es.statista.com/estadisticas/635252/poblacion-total-de-brasil-en-2020/
- Normativa PSD2 https://www.xataka.com/empresas-y-economia/adios-a-tarjetas-coordenadas-asi-afecta-a-nuestro-banco-normativa-psd2-que-cambios-llegan-al-pagar-internet
- SimJacker https://www.forbes.com/sites/zakdoffman/2019/09/12/new-spyware-warning-as-1-billion-mobiles-at-risk-from-nasty-simjacking-attack/#73f98f1cb320
Fuente: Hispasec