La inminente aplicación del nuevo Reglamento de Protección de Datos Personales (RGPD) que entrará en vigor el próximo 25 de mayo, coincide con la noticia descubierta por la empresa israelí de seguridad Sixgill, que relata la existencia de paquetes con información personal en la Dark Web. Esta situación choca en bloque, primero con la cordura, y, segundo, evidentemente con esta nueva legislatura, ya que, recordemos, se muestra tajante cara a “proteger datos personales y valorar el riesgo de dichos tratamientos respecto a los derechos y libertades de las personas”. De este modo, los paquetes a la venta en la deep web tienen un doble formato: bien con un contenido de unos 100.000 documentos a precio de 50.000 dólares, o paquetes específicos con los datos de una única persona por 70 dólares. Estos packs incluyen las siguientes informaciones:
- Carnets de identidad
- Pasaportes
- Direcciones postales
- Imágenes de la persona (muchas de ellas en formato selfie)
En este post ,no nos vamos a centrar en el evidente incumplimiento legal de dicho tratamiento de datos, sino en su repercusión desde el punto de vista de la ciberseguridad.
¿Hasta qué punto estamos comprometidos si un atacante dispone de esa información?
Un documento acreditativo de identidad, sea el DNI o un pasaporte, es un método de validación ante terceros lo suficientemente “poderoso” con el que poder acometer una suplantación de identidad. Lo cual, en la era de la cibercomunicación, es uno de los principales vectores de ataque utilizados. Si a ello le sumamos la imagen de la persona afectada, el alcance se extiende a la posibilidad de que la suplantación llegue, prácticamente, a todos los ámbitos. Por ejemplo, para abrir una cuenta bancaria en organizaciones online, se requieren únicamente, los datos personales existentes en un DNI, más una foto que, supuestamente, confirme la identidad de la persona. Veamos un ejemplo con el BBVA, un banco contrastado desde el punto de vista de la seguridad. En la web nos aparece la siguiente información: ¿Será suficiente con un selfie y una videoconferencia? Si continuamos leyendo ….
Entendemos entonces que si nos roban el DNI y una foto, no hay problema en crear cuentas bancarias a nuestro nombre, ya que la verificación del número telefónico no existe.
¿Qué medidas podemos adoptar para que no nos suceda a nosotros?
1. Cuando entreguemos cualquier dato personal, sea un DNI, una foto, etc, nunca debemos perder de vista dicha documentación para que no sea posible realizar una copia. Si por razones operativas, deben realizar una copia de esa documentación, que nos expliquen o entreguen por escrito un documento que describa la finalidad de esa copia y las medidas de salvaguarda que adoptarán al respecto. 2. Evidentemente, ante la más mínima sospecha de que algún tercero al cual no hemos cedido información, dispone de nuestros datos personales, contactaremos con él (si es posible) para aclarar cómo ha obtenido esos datos y solicitar el derecho de cancelación. Si no hay respuesta por su parte, nos pondremos en contacto con la autoridad competente en Protección de Datos Personales, es decir la Agencia Española de Protección de Datos. 3. Ser conscientes de que las publicaciones que realicemos con nuestras fotos en redes sociales públicas o diversas plataformas, pueden ser utilizados por terceros con fines ilegítimos.
Es decir, la CONCIENCIACIÓN como la principal solución a estos problemas.
4. Si por necesidad propia, debemos llevar una copia de algún documento acreditativo en nuestro portátil o dispositivo móvil, debemos procurar que dicha información esté CIFRADA para protegernos ante el posible robo del dispositivo. 5. En caso de que las fotos, si hayan sido obtenidas de una forma ilegítima, muy probablemente se hayan robado desde el propio dispositivo móvil del afectado o de alguien de su entorno. Esto nos lleva a tratar y PROTEGER los dispositivos móviles como lo que son, verdaderos ordenadores. Para ello, existen medidas apropiadas como las soluciones MDM (Mobile Device Management). 6. Actualmente, en muchas instalaciones, por ejemplo, los gimnasios, realizan la autentificación mediante datos biométricos. De nuevo, acudimos a la CONCIENCIACIÓN como medida para solicitar información sobre cómo se protegen dichos datos por parte del proveedor.