4 de las peores filtraciones de datos de todos los tiempos
Desde el comienzo de la proliferación de datos a gran escala a principios de la década de 2000, ha habido más de 4000 violaciones de datos de alto perfil, y hasta ahora se han filtrado o robado casi mil millones de datos de personas.
Las violaciones de datos son peligrosas no solo por su efecto en la privacidad del usuario, sino también porque pueden terminar siendo la diferencia entre la vida y la muerte de una empresa. La importante pérdida financiera, así como de imagen, causada por una violación de datos, es un abismo que muchas empresas no pueden cruzar con éxito.
Hoy, echemos un vistazo a las peores violaciones de datos de la historia y sus implicaciones.
1. 2018 Marriott International: servidores comprometidos
El ataque detrás de esta violación de datos, una de las más insidiosas de esta lista, comenzó en 2014, cuando los servidores de la actual marca Starwood de Marriott se vieron comprometidos. Si bien Starwood era una entidad independiente en ese entonces, fue adquirida por Marriot en 2016 junto con sus servidores de registros comprometidos aún no descubiertos.
Este truco fue especialmente preocupante debido a la naturaleza de los datos robados. La información personal filtrada de casi 500 millones de clientes incluía nombres, direcciones, números de tarjetas de crédito, números de teléfono y también premios más raros para piratas informáticos, como números de pasaporte, lugares de viaje y fechas de viaje personales de los clientes.
Marriott International terminó enfrentando una demanda colectiva y vio una caída instantánea del 5.6 por ciento en su patrimonio neto como resultado de la infracción. A principios de 2020, había pagado casi $ 350 millones en compensación a los usuarios cuyos datos estaban expuestos.
2. 2019 Facebook: extremos sueltos en protocolos de seguridad
En 2019, Facebook sufrió un par de incidentes de seguridad ridículos que expusieron colectivamente la vulnerabilidad de la red social más grande del mundo.
La primera parte involucró una filtración de casi 50 millones de credenciales de usuario de Instagram en línea. Los datos del usuario, almacenados en un archivo de texto sin formato en un servidor web al que se puede acceder mediante tokens web, no fueron más que elecciones fáciles para los sofisticados grupos de piratas informáticos a los que generalmente se dirige Facebook.
La siguiente filtración de datos, una más compleja, vio más de 540 millones de registros de usuarios de Facebook expuestos públicamente en el servicio de computación en la nube de Amazon. Dos sitios de terceros ('At the Pool' y 'Cultura Colectiva') almacenaron información del usuario vinculada a sus cuentas de Facebook en bases de datos desprotegidas en los servidores web de Amazon.
Esto significaba que alguien que intentara acceder a la base de datos de At the Pool o Cultura obtendría inadvertidamente acceso a los datos de Facebook a través de una laguna de seguridad. Las bases de datos expuestas contenían números de teléfono personales, ID de Facebook y contraseñas, así como información demográfica sensible como género y orientación sexual.
Junto con una ligera caída en el desempeño del mercado de valores de Facebook, la noticia de las debacles de violación de datos de 2019 empeoró la opinión pública de Facebook y alimentó las investigaciones del gobierno sobre cómo la compañía maneja los datos de sus usuarios.
3. Primera corporación financiera estadounidense de 2019: datos en juego
En esta filtración de datos que fue causada por una laguna de autenticación, se filtraron casi 885 millones de registros financieros en total.
En pocas palabras, First American almacenó los registros confidenciales de sus usuarios mediante el uso de enlaces web únicos y difíciles de adivinar. No había protección con contraseña ni cifrado de datos de ningún tipo. Si tuviera el tiempo y los recursos para adivinar un enlace web, podría obtener acceso instantáneo a un registro en los servidores de la empresa. Los piratas informáticos, al automatizar el proceso de generación de estos enlaces web, que seguían un patrón determinado, lograron acceder a casi toda la información de los clientes de First American.
Esta violación de datos es especialmente famosa por la sensibilidad de los datos que filtró. En la infracción, los piratas informáticos obtuvieron acceso a extractos bancarios, registros hipotecarios y fiscales, números de seguro social e imágenes de licencias de conducir.
Como resultado de la filtración de datos, la empresa no solo perdió una buena parte de su base de consumidores, sino que también fue el receptor de una demanda colectiva. Actualmente, también está siendo investigado por los reguladores por violaciones a las leyes que requieren que los bancos y otras empresas de servicios financieros implementen y mantengan protocolos de ciberseguridad.
4. 2013 Yahoo: desastre no detectado
Por último, pero no menos importante, el título no deseado pero bien merecido de la peor violación de datos del mundo va a este evento de 2013, en gran parte porque logró pasar desapercibido durante casi tres años.
En septiembre de 2016, Yahoo anunció que la información de sus 3 mil millones de cuentas de usuario fue robada por piratas informáticos tres años antes en 2013. La compañía solo pudo detectar la violación cuando vio que sus datos de usuario se vendían en foros y mercados clandestinos de piratas informáticos.
En lo que se especuló que era un hackeo respaldado por grupos de hackers rusos, se robaron datos que incluían nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas encriptadas y, en algunos casos, incluso preguntas de seguridad.
La filtración de dicha información fue desastrosa no solo porque dio a los piratas informáticos acceso a las cuentas de Yahoo, sino que también filtró las conexiones de los usuarios con sus bancos, perfiles de redes sociales, otros servicios financieros y amigos y familiares.
Para empeorar las cosas, más de 150.000 cuentas gubernamentales y militares de Estados Unidos se encontraban entre las víctimas de la violación de datos. Desafortunadamente para Yahoo, esta noticia no podría haber llegado en peor momento. Fueron solo dos días hasta la firma de la adquisición de Yahoo por parte de Verizon cuando los detalles de la peor violación de datos de la compañía llegaron a los titulares.
El evento no solo arrojó una nube de incertidumbre sobre el futuro del acuerdo, sino que también obligó a Yahoo a realizar cambios organizativos y estructurales drásticos antes de poder llamarse a sí mismo digno del mercado. Finalmente, el acuerdo se retrasó casi un año y el incidente redujo casi $ 350 millones el precio de venta de Yahoo.
Yahoo también enfrentó 23 demandas de alto perfil y varios miles de demandas más pequeñas por parte de sus usuarios. Finalmente terminó pagando casi $ 150 millones en pagos legales y compensaciones.
Lo que puede aprender de las peores violaciones de datos de la historia
Por muy aterradores e inquietantes que sean, estos incidentes son simplemente la punta del iceberg. Si bien las empresas responsables de la pérdida de datos de los usuarios pueden enfrentar consecuencias a corto plazo, eventualmente pueden recuperarse recuperando la confianza del público y reparando sus pérdidas financieras.
Sin embargo, el impacto en los usuarios podría ser más adverso y a largo plazo. Mientras los datos de los usuarios estén disponibles gratuitamente en foros y mercados clandestinos, las personas seguirán siendo víctimas del robo de identidad, el robo de bancos e incluso el chantaje. Con la web oscura descentralizada, es probable que haya una gran cantidad de tales plataformas en el futuro previsible.
La ironía de tener la comodidad de una experiencia en línea altamente personalizada es que nuestros datos más personales e importantes a menudo están a la protección de completos extraños.
La mejor manera de proteger los datos del usuario no es confiándolos en una capa a capa de encriptaciones o firewalls, sino una gestión responsable de la propia información privada: monitoreando y regulando la información que revelamos y dónde la revelamos.