Cada año llegan a nuestras bandejas de entrada innumerables correos electrónicos informandonos de que se ha accedido a nuestra información personal, se ha compartido o ha sido robada en una filtración de datos. En muchos casos, poco podemos hacer. La mayoría de nosotros puede asumir que al menos nuestros números de teléfono, correos electrónicos, direcciones, números de tarjetas de crédito y números de la seguridad social están disponibles en algún lugar de Internet.
Pero algunas de estas violaciones de datos son más notables que otras, porque incluyen información novedosa sobre nosotros, son el resultado de fallos de seguridad especialmente notables o simplemente son tan masivas que es imposible ignorarlas. Por ese motivo, presentamos los Breachies, una serie de "premios" irónicos a algunas de las filtraciones de datos más atroces del año.
Si estas empresas practicaran un enfoque de Privacidad Primero y se centraran en la minimización de datos, recopilando y almacenando únicamente lo absolutamente necesario para prestar los servicios que prometen, muchas filtraciones de datos serían mucho menos perjudiciales para las víctimas. Pero en lugar de eso, las empresas engullen todo lo que pueden, lo almacenan el mayor tiempo posible e, inevitablemente, en algún momento alguien decide hurgar y robar esos datos.
Una vez robados todos esos datos personales, pueden utilizarse contra las víctimas de la brecha para robo de identidad , ataques de ransomware y para enviar spam no deseado. El riesgo de estos ataques no es sólo una molestia menor: las investigaciones demuestran que pueden causar daños psicológicos, como ansiedad, depresión y PTSD. Para evitar estos ataques, las víctimas de infracciones deben dedicar tiempo y dinero a congelar y descongelar sus informes de crédito, a supervisar sus informes de crédito y a obtener servicios de prevención del robo de identidad .
Este año tenemos algunos que apestan, desde información sanitaria privada hasta -adivinaste- tarjetas de crédito y números de la seguridad social.
- Premio Simplemente deja de usar tecnologías de rastreo:: Kaiser Permanente
- Premio a la filtración de datos más impactante para los hijos de los 90: Hot Topic
- Premio Solo admitimos stalkers: mSpy
- Premio "Ni siquiera sabía que tenían mis datos": Evolve Bank
- Premio "Se lo dijimos": AU10TIX
- El premio Seguimos emperrados con las contraseñas únicas: Roku
- Premio "Escucha, los investigadores de seguridad intentan ayudar": Ciudad de Columbus
- El premio "¿Me han engañado? Award: Spoutible
- El Premio a la Información está en todas partes: Datos Públicos Nacionales
- Premio a la mayor brecha sanitaria jamás vista: Change Health
- El premio "No existen puertas traseras sólo para los "buenos"": Salt Typhoon
- Infracción del año (¿de la década?): Copo de nieve
- Consejos para protegerse
- Menciones (des)honoríficas
Premio Simplemente deja de usar tecnologías de rastreo: Kaiser Permanente
En una de las filtraciones más evitables del año, la empresa sanitaria Kaiser Permanente expuso la información de 13 millones de pacientes a través de un código de seguimiento incrustado en su sitio web y su aplicación. Este código de seguimiento transmitió información médica potencialmente sensible a Google, Microsoft y X (antes conocido como Twitter). La información expuesta incluía los nombres de los pacientes, los términos que buscaban en la Enciclopedia de la Salud de Kaiser y cómo navegaban e interactuaban con el sitio web o la aplicación de Kaiser.
El aspecto más preocupante de esta filtración es que la información médica quedó expuesta no por un sofisticado pirateo informático, sino a través de tecnologías de rastreo ampliamente utilizadas que Kaiser colocó voluntariamente en su sitio web. Kaiser ha eliminado desde entonces el código problemático, pero las tecnologías de rastreo proliferan en Internet y en otros sitios web de atención sanitaria. Un estudio de 2024 descubrió tecnologías de rastreo que compartían información con terceros en el 96% de los sitios web de hospitales. Los sitios web suelen utilizar tecnologías de rastreo para ofrecer anuncios específicos. Pero estas mismas tecnologías proporcionan a los anunciantes , a los intermediarios de datos y a las fuerzas de seguridad fácil acceso a detalles sobre su actividad en línea.
Aunque los particulares pueden protegerse del rastreo en línea utilizando herramientas como Privacy Badger de la EFF, necesitamos medidas legislativas para que la privacidad en línea sea la norma para todos. La EFF aboga por la prohibición de la publicidad basada en el comportamiento en línea como principal incentivo para que las empresas utilicen tecnologías de rastreo invasivas. De lo contrario, seguiremos viendo cómo las empresas comparten voluntariamente sus datos personales y luego se disculpan cuando los ladrones explotan inevitablemente una vulnerabilidad de estos sistemas de rastreo.
Volver al índice.
Premio a la filtración de datos más impactante para los niños de los 90: Hot Topic
Si fuiste a la escuela secundaria o al instituto en algún momento de los años 90, probablemente tengas un buen recuerdo de Hot Topic. Tanto los jóvenes góticos como los jóvenes punk rockers iban al centro comercial, se compraban una Orange Julius y un trozo de pizza Sbarro, y luego se dirigían a Hot Topic para comprar camisetas atrevidas y pantalones bondage carísimos (mientras discutían quién era el más falso y qué bandas eran las más vendidas, por supuesto). Debido a la posición fundamental que Hot Topic ocupa en la mitología personal de nuestra generación, esta filtración de datos nos afecta especialmente.
En noviembre de 2024, Have I Been Pwned informó de que Hot Topic y su filial Box Lunch sufrieron una violación de datos de casi 57 millones de registros de datos. Un pirata informático que utilizaba el alias "Satanic" se atribuyó la responsabilidad y publicó una base de datos de 730 GB en un foro de piratas informáticos con un precio de venta de 20.000 dólares. Al parecer, los datos comprometidos sobre unos 54 millones de clientes incluyen: nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono, historial de compras, fechas de nacimiento y datos parciales de tarjetas de crédito. La investigación de Hudson Rock indica que los datos fueron comprometidos utilizando el malware ladrón de información instalado en el ordenador de trabajo de un empleado de Hot Topic. "Satanic" afirma que la infección original tiene su origen en la filtración de datos de Snowflake (otro ganador de Breachie ); aunque esto no se ha confirmado porque Hot Topic todavía no ha notificado a los clientes, ni ha respondido a nuestra petición de comentarios.
Aunque las violaciones de datos de este tipo son habituales, nos rompen el corazón y preferiríamos que las tiendas protegieran mejor nuestros datos. Peor aún, Hot Topic todavía no ha reconocido públicamente esta violación, a pesar de numerosos informes de noticias . Tal vez Hot Topic fuera el verdadero traidor desde el principio.
Premio Solo admitimos stalkers: mSpy
mSpy, una aplicación móvil stalkerware disponible en el mercado y propiedad de la empresa ucraniana Brainstack, fue objeto de una filtración de datos a principios de este año. Se robó información de más de una década sobre los clientes de la aplicación, así como los nombres reales y las direcciones de correo electrónico de los empleados de Brainstack.
La característica que define a las aplicaciones stalkerware es su capacidad para operar de forma encubierta y engañar a los usuarios haciéndoles creer que no están siendo vigilados. Pero, en realidad, aplicaciones como mSpy permiten a quien haya colocado el stalkerware ver a distancia el contenido del dispositivo de la víctima en tiempo real. Estas herramientas se utilizan a menudo para intimidar, acosar y dañar a las víctimas, incluso por acosadores y (ex) parejas abusivas. Dados los datos altamente sensibles que recopilan empresas como mSpy y el daño que sufren las víctimas cuando se revelan sus datos, esta filtración de datos es otro ejemplo de por qué debe ponerse fin al stalkerware .
Premio "Ni siquiera sabía que tenían mis datos": Evolve Bank
Vale, ¿somos los únicos que no habíamos oído hablar de Evolve Bank? En mayo se informó de que Evolve Bank había sufrido una filtración de datos , aunque en realidad ocurrió en febrero. Puede que estés pensando: "¿por qué importa esta filtración si nunca antes había oído hablar de Evolve Bank?". Eso mismo pensamos nosotros.
Pero aquí está la cosa: este ataque afectó a un montón de empresas de las que has oído hablar, como Affirm (el servicio de compra ahora, paga después), Wise (el servicio de transferencia internacional de dinero), y Mercury Bank (una empresa fintech). Así pues, un montón de servicios utilizan el banco, y es posible que tú hayas utilizado alguno de ellos. Se ha informado de que 7,6 millones de estadounidenses se vieron afectados por la brecha, y la mayoría de los datos robados eran información de clientes, incluidos números de la seguridad social, números de cuenta y fecha de nacimiento.
¿El pequeño lado positivo? Durante la brecha no se accedió a los fondos de ningún cliente. Evolve afirma que tras la brecha están haciendo algunas cosas básicas como restablecer las contraseñas de los usuarios y reforzar su infraestructura de seguridad .
Premio "Se lo dijimos": AU10TIX
AU10TIX es una empresa de "verificación de identidad" utilizada por sitios como TikTok y X para confirmar que los usuarios son quienes dicen ser. AU10TIX y empresas similares recopilan y revisan documentos privados confidenciales, como los datos del carné de conducir, antes de que los usuarios puedan registrarse en un sitio o acceder a determinados contenidos.
Desgraciadamente, hay un creciente interés político en exigir la verificación de la identidad o la edad antes de permitir el acceso a las redes sociales o a material para adultos. La EFF y otras organizaciones se oponen a estos planes porque amenazan tanto la libertad de expresión como la privacidad. Como dijimos en 2023, los mandatos de verificación de conducirían inevitablemente a más violaciones de datos , exponiendo potencialmente identificaciones gubernamentales así como información sobre los sitios que visita un usuario.
No hay más que mirar en la brecha de AU10TIX para ver a qué nos referimos. Según un informe publicado por 404 Media en mayo, AU10TIX dejó expuestas en línea las credenciales de inicio de sesión durante más de un año, lo que permitió acceder a datos muy sensibles de los usuarios.
404 Media detalla cómo un investigador accedió a la plataforma de registro de la empresa, "que a su vez contenía enlaces a datos relacionados con personas concretas que habían subido sus documentos de identidad". Esto incluía "el nombre de la persona, su fecha de nacimiento, nacionalidad, número de identificación y el tipo de documento subido, como un permiso de conducir", así como imágenes de esos documentos de identidad.
La filtración de AU10TIX no parece haber dado lugar a una exposición más allá de lo que el investigador demostró que era posible. Pero AU10TIX y otras empresas deben hacer un mejor trabajo a la hora de bloquear los datos de los usuarios. Y lo que es más importante, los políticos no deben crear nuevos peligros para la privacidad exigiendo la verificación de la identidad y la edad.
Si los requisitos de verificación de la edad se convierten en ley, entregaremos mucha de nuestra información sensible a empresas como AU10TIX. Este es el primer premio We Told You So Breachie, pero probablemente no será el último.
Premio Seguimos emperrados con las contraseñas únicas: Roku
En abril, Roku no anunció otra nueva forma de mostrar más anuncios , sino una violación de datos (su segunda del año) en la que 576.000 cuentas se vieron comprometidas mediante un "ataque de relleno de credenciales". Se trata de un tipo de ataque automatizado común y relativamente sencillo en el que los ladrones utilizan combinaciones de nombre de usuario y contraseña previamente filtradas (de una violación de datos anterior de una empresa no relacionada) para entrar en cuentas de un servicio diferente. Por lo tanto, si tu nombre de usuario y contraseña estaban en la filtración de datos de Comcast en 2015, y utilizaste el mismo nombre de usuario y contraseña en Roku, el atacante podría haber sido capaz de entrar en tu cuenta. Afortunadamente, menos de 400 cuentas de Roku vieron compras no autorizadas, y no se accedió a ninguna información de pago.
Pero la facilidad de este tipo de filtración de datos es la razón por la que es importante utilizar contraseñas únicas en todas partes . Un gestor de contraseñas , incluido uno que puede ser gratuito en tu teléfono o navegador, hace que esto sea mucho más fácil de hacer. Del mismo modo, la suplantación de credenciales ilustra por qué es importante utilizar autenticación de dos factores . Tras la filtración de Roku, la empresa activó la autenticación de doble factor para todas las cuentas. De este modo, aunque alguien consiguiera acceder a la contraseña de tu cuenta, necesitaría ese segundo código de otro dispositivo; en el caso de Roku, tu número de teléfono o tu dirección de correo electrónico.
Premio "Escucha, los investigadores de seguridad intentan ayudar": Ciudad de Columbus
En agosto, el investigador de seguridad David Ross Jr. (también conocido como Connor Goodwolf) descubrió que un ataque de ransomware contra la ciudad de Columbus, Ohio, era mucho más grave de lo que las autoridades municipales revelaron en un principio. Después de que el investigador informara a la prensa y aportara pruebas, la ciudad le acusó de violar múltiples leyes y obtuvo una orden de mordaza contra él.
En lugar de silenciar al investigador, los responsables municipales deberían haberle felicitado por ayudar a las víctimas a comprender el verdadero alcance de la brecha. La EFF y los investigadores de seguridad de conocen el valor de este trabajo. Y la EFF cuenta con un equipo de abogados que ayudan a proteger a los investigadores y su trabajo.
He aquí cómo no tratar a un investigador de seguridad: En julio, Columbus se enteró de que había sufrido un ataque de ransomware. Un grupo llamado Rhysida asumió la responsabilidad. La ciudad no pagó el rescate y el grupo publicó en Internet algunos de los datos robados. El alcalde anunció que los datos robados estaban " cifrados o corrompidos ," por lo que la mayor parte eran inutilizables. Más tarde, el investigador, David Ross, ayudó a a informar a los medios de comunicación locales de que, en efecto, la filtración incluía información personal utilizable de los residentes. También intentó ponerse en contacto con la ciudad. Días después, la ciudad ofreció un servicio gratuito de control de crédito a todos sus residentes y confirmó que su anuncio original era inexacto.
Por desgracia, la ciudad también presentó una demanda y un juez firmó una orden de restricción temporal que impedía al investigador acceder a los datos, descargarlos o difundirlos. Más tarde, el investigador aceptó una orden judicial más limitada . Finalmente, la ciudad confirmó que en el ataque del ransomware se robaron los datos de cientos de miles de personas, incluidos permisos de conducir, números de la seguridad social, información de empleados e identidades de víctimas menores de edad, agentes de policía encubiertos e informantes confidenciales.
El premio "¿Me han engañado? Award: Spoutible
La brecha de Spoutible tiene capas, capas de "¡no puede ser!" que van revelando pequeños hechos cada vez más sorprendentes cuanto más se profundiza.
Todo empezó con una API con fugas. Por usuariono sólo devolvía el tipo de información cabría esperar de una plataforma de redes sociales, sino también el correo electrónico, la dirección IP y el número de teléfono del usuario. ¡No puede ser! ¿Por qué harías eso?
Pero espera, también incluye un bcrypt hash de su contraseña. ¡No puede ser! ¡¿Por qué harías eso?!
Ah, bueno, al menos ofrecen autenticación de dos factores (2FA) para protegerse de las filtraciones de contraseñas, excepto que... la API también devolvía el secreto utilizado para generar la OTP de 2FA. ¡Imposible! Así que, si alguien había activado la 2FA, quedaba inmediatamente inutilizada en virtud de que este campo era visible para todo el mundo.
Sin embargo, la pièce de resistance viene con el siguiente campo de la API: el "em_code". ¿Sabes que cuando haces un restablecimiento de contraseña te envían por correo electrónico un código secreto que demuestra que controlas la dirección y puedes cambiar la contraseña en ? ¡Ese era el código! ¡No puede ser!
-EFF agradece al autor invitado Troy Hunt esta contribución a los Breachies.
Premio: La Información está en todas partes: Datos Públicos Nacionales
En enero de 2024, era casi imposible que hubieras oído hablar de una empresa llamada National Public Data. Pero a partir de abril, y luego se intensificó en junio , las noticias revelaron una brecha que afectaba al corredor de datos de comprobación de antecedentes que incluía nombres, números de teléfono, direcciones y números de la seguridad social de al menos 300 millones de personas. En agosto, la cifra de se disparó hasta los 2.900 millones de personas. En octubre, National Public Data se declaró en quiebra, dejando tras de sí nada más que una notificación de violación en su sitio web.
Pero, ¿qué robaron exactamente? La evolución de la cobertura informativa ha suscitado más preguntas que respuestas. Lástima que National Public Data no haya informado al público sobre los datos que la empresa no pudo proteger.
Un análisis descubrió que parte del conjunto de datos era inexacto, con varios duplicados; además, aunque había 137 millones de direcciones de correo electrónico, no estaban vinculadas a números de la seguridad social. Otro análisis obtuvo resultados similares . En cuanto a los números de la seguridad social, probablemente había alrededor de 272 millones en el conjunto de datos. Los datos estaban tan desordenados que los nombres coincidían con direcciones de correo electrónico o direcciones equivocadas, e incluían una gran cantidad de personas fallecidas. Ah, ¿y esa cifra de 2.900 millones? Era, el número de filas de datos en el conjunto de datos, no el número de individuos. Esa cifra de 2.900 millones de personas parecía proceder de una denuncia presentada en Florida.
Uf, es hora de comprobarlo con el Conde Contar, entonces.
¿A cuántas personas afectó realmente? Es difícil saberlo con certeza. Lo único que sabemos con certeza es que crear una empresa de intermediación de datos parece increíblemente fácil, ya que NPD era propiedad de un ayudante del sheriff retirado y de un pequeño estudio de cine y no parecía una operación de gran envergadura. Mientras que este corredor de datos se vio atrapado con más filtraciones que el Titanic, cientos de otros siguen ahí fuera recopilando y acaparando información, y sin tener cuidado con el próximo iceberg.
Premio a la mayor brecha sanitaria jamás vista: Change Health
En febrero, un ataque de ransomware contra Change Healthcare expuso la información sanitaria privada de más de 100 millones de personas . La empresa, que procesa el 40% de todas las reclamaciones de seguros médicos de Estados Unidos , se vio obligada a permanecer fuera de servicio durante casi un mes. Como consecuencia, los centros sanitarios de todo el país tuvieron dificultades para seguir funcionando y los pacientes vieron limitado su acceso a la atención sanitaria. Mientras tanto, los datos robados plantean riesgos a largo plazo de usurpación de identidad y fraude de seguros para millones de estadounidenses, ya que incluyen identificadores personales de los pacientes, diagnósticos médicos, medicamentos, detalles de seguros, información financiera y documentos de identidad del gobierno.
El uso indebido de historiales médicos puede ser más difícil de detectar y corregir que el fraude financiero habitual o el robo de identidad. La FTC recomienda a las personas en riesgo de robo de identidad médica que estén atentas a las facturas médicas sospechosas o a los avisos de cobro de deudas.
El ataque pone de manifiesto la necesidad de reforzar la ciberseguridad en el sector sanitario, que es cada vez más blanco de ciberataques . Los piratas informáticos de Change Healthcare pudieron acceder a un sistema crítico porque carecía de autenticación de dos factores , una forma básica de seguridad.
Para empeorar las cosas, la reciente fusión de Change Healthcare con Optum, que los reguladores antimonopolio intentaron bloquear sin éxito , centralizó aún más grandes cantidades de información sensible. Muchos proveedores sanitarios culparon a la consolidación corporativa de la magnitud de la perturbación. En palabras de , ex presidente de la Asociación Médica Estadounidense , "Cuando tenemos una sola opción, los piratas informáticos tienen un gran objetivo... si lo derriban, pueden paralizar la sanidad estadounidense". La privacidad y la competencia son valores relacionados, y la violación de datos y el monopolio son problemas conectados.
Premio "No existen puertas traseras sólo para los "buenos"": Salt Typhoon
Cuando las empresas incorporan puertas traseras a sus servicios para facilitar a las fuerzas de seguridad el acceso a los datos de los usuarios, estas puertas traseras pueden ser explotadas por ladrones, gobiernos extranjeros y otros adversarios. No hay métodos de acceso que mágicamente sólo sean accesibles para los "buenos". Ninguna brecha de seguridad lo ha demostrado más claramente que el ataque de este de Salt Typhoon , un grupo de piratas informáticos respaldado por el gobierno chino.
Los proveedores de servicios de Internet suelen disponer de sistemas especiales para facilitar a las fuerzas de seguridad y los servicios de inteligencia el acceso a los datos de los usuarios. Lo hacen para cumplir leyes como la CALEA, que obliga a las empresas de telecomunicaciones a proporcionar medios para "interceptaciones legales", es decir, escuchas telefónicas.
El grupo Salt Typhoon pudo acceder a las potentes herramientas que en teoría han estado reservadas a las agencias gubernamentales estadounidenses. Los piratas informáticos se infiltraron en las mayores redes de telecomunicaciones del país, como Verizon, AT&T y otras, y pudieron orientar su vigilancia en función de las solicitudes de escuchas telefónicas de las fuerzas de seguridad estadounidenses. Otras brechas en el sistema les permitieron escuchar llamadas en tiempo real. Las personas bajo vigilancia estadounidense eran claramente algunos de los objetivos, pero los piratas informáticos también apuntaron a las campañas presidenciales de 2024 y a funcionarios del Departamento de Estado.
Aunque hasta ahora se ha identificado a menos de 150 personas como objetivos, el número de personas a las que esos objetivos llamaron o enviaron mensajes de texto asciende a "millones", según un senador que ha sido informado sobre el pirateo. Además, los hackers de Salt Typhoon aún no han sido expulsados de las redes en las que se infiltraron.
La idea de que sólo las agencias gubernamentales autorizadas utilizarían este tipo de herramientas de acceso de puerta trasera siempre ha sido errónea. Con sofisticados grupos de piratas informáticos patrocinados por el Estado operando en todo el mundo, una violación de datos como la de Salt Typhoon era solo cuestión de tiempo.
Premio a la brecha del año: SNOWFLAKE
Los ladrones comprometieron las cuentas de clientes corporativos del proveedor estadounidense de análisis en la nube Snowflake. Entre los clientes corporativos se encontraban AT&T , Ticketmaster, Santander, Neiman Marcus y muchos otros : 165 en total.
Esto provocó una violación masiva de miles de millones de registros de datos de particulares usuarios de estas empresas. Una combinación de infecciones de malware infostealer en máquinas no Snowflake, así como seguridad debil usada para proteger las cuentas afectadas permitió a los hackers obtener acceso y extorsionar a los clientes. En el momento del pirateo, entre abril y julio de este año, Snowflake no exigía autenticación de dos factores , una medida de seguridad de las cuentas que podría haber proporcionado protección contra los ataques. Se realizaron varias detenciones después de que los investigadores de seguridad descubrieran las identidades de varios de los autores de la amenaza.
Pero, ¿qué hace Snowflake? Según su sitio web , Snowflake "es una plataforma de datos basada en la nube que ofrece soluciones de almacenamiento, procesamiento y análisis de datos". Básicamente, almacenan e indexan montones de datos de clientes para que las empresas puedan consultarlos. Y cuanto mayor sea la cantidad de datos almacenados, mayor será el objetivo de los actores maliciosos para aprovecharse de ellos y extorsionar a esas empresas. El problema es que los datos nos afectan a todos. En el caso de AT&T, cliente de Snowflake, esto incluye miles de millones de registros de llamadas y mensajes de texto de sus clientes, lo que pone en riesgo de exposición los datos sensibles de las personas. Un enfoque que dé prioridad a la privacidad emplearía técnicas como la minimización de datos y no recopilaría esos datos en primer lugar o reduciría el periodo de conservación de los datos. De lo contrario, se quedan ahí esperando la próxima brecha.
Consejos para protegerse
Las filtraciones de datos son tan frecuentes que es fácil pensar que no hay nada que hacer, ni tiene sentido intentarlo. Pero la privacidad no está muerta . Aunque es casi seguro que alguna información sobre ti está ahí fuera, eso no es motivo para desesperarse. De hecho, es una buena razón para actuar.
Hay medidas que puede tomar ahora mismo con todas sus cuentas en línea para protegerse mejor de la próxima filtración de datos (y la siguiente, y la siguiente):
- Usa contraseñas únicas en todas sus cuentas en línea . Esto es mucho más fácil si utiliza un gestor de contraseñas , que puede generar y almacenar esas contraseñas por usted. Si tienes una contraseña única para cada sitio web, la filtración de datos de uno de ellos no afectará a los demás.
- Usa la autenticación de dos factores cuando un servicio la ofrezca. La autenticación de dos factores hace que sus cuentas en línea sean más seguras al requerir una prueba adicional ("factores") junto a su contraseña cuando inicia sesión. Aunque la autenticación de dos factores añade un paso más al proceso de inicio de sesión, es una forma estupenda de impedir el acceso a cualquier persona no autorizada, incluso si se vulnera tu contraseña.
- Congela tu crédito. Muchos expertos recomiendan congelar su crédito en las principales agencias de crédito como forma de protegerse contra el tipo de robo de identidad que posibilitan algunas filtraciones de datos. Congelar tu crédito impide que alguien abra una nueva línea de crédito a tu nombre sin información adicional, como un PIN o una contraseña, para "descongelar" la cuenta. Esto puede parecer absurdo si tenemos en cuenta que ni siquiera pueden abrir cuentas bancarias, pero si tienes hijos, también puedes congelar su crédito .
- Esté atento a las facturas médicas extrañas. Con el número de empresas sanitarias que han sufrido infracciones este año, también es buena idea estar atento a los fraudes sanitarios. La Comisión Federal de Comercio recomienda que estés atento a facturas extrañas, cartas de su compañía de seguros médicos por servicios que no ha recibido y cartas de cobradores de deudas alegando que debe dinero.
Menciones (des)honoríficas
Según un informe, en 2023 se produjeron más de 3.000 violaciones de datos. En lo que va de año, la cifra es ligeramente inferior:, con unas 2.200 hasta el final del tercer trimestre. Pero 2.200 y contando es poco consuelo.
No hemos investigado todas y cada una de las más de 2.000 filtraciones de datos, pero hemos examinado muchas de ellas, incluida la cobertura informativa y las cartas de notificación de filtraciones de datos que muchas fiscalías generales estatales publican en sus sitios web. No podemos conceder el codiciado premio Breachie a todas las empresas que han sufrido una filtración este año. Aun así, aquí van algunas menciones (des)honoríficas:
ADT, Advance Auto Parts , AT&T, AT&T (de nuevo), Avis, Casio, Cencora , Comcast, Dell, El Salvador, Fidelity, FilterBaby , Fortinet, Framework, Golden Corral, Greylock, Halliburton, HealthEquity , Heritage Foundation , HMG Healthcare, Internet Archive, LA County Department of Mental Health, MediSecure , Mobile Guardian, MoneyGram, muah.ai, Ohio Lottery, Omni Hotels , Oregon Zoo , Orrick, Herrington & Sutcliffe , Panda Restaurants, Panera, Patelco Credit Union , Patriot Mobile , pcTattletale , Perry Johnson & Associates, Roll20, Santander, Spytech, Synnovis, TEG, Ticketmaster, Twilio, USPS, Verizon, VF Corp, WebTPA .
¿Y ahora qué? Las empresas deben esforzarse más por recopilar únicamente la información que necesitan para funcionar y proteger adecuadamente la que almacenan. Además, Estados Unidos debe aprobar protecciones integrales de la privacidad . Como mínimo, necesitamos poder demandar a las empresas cuando se produzcan este tipo de violaciones (y ya que estamos, estaría bien que recibiéramos algo más que cheques de 5,21 dólares por correo ). La EFF aboga desde hace tiempo por una ley federal de privacidad sólida que incluya un derecho de acción privado.
