National Public Data (NPD) es una empresa que ofrece verificaciones de antecedentes, lo que significa que mantiene una amplia base de datos con información sobre cientos de millones de personas, tanto vivas como muertas, que incluye nombres direcciones, direcciones de correo electrónico, números de teléfono y numero de seguridad social.

En agosto un “Hacker” llamado “Fenice” filtro casi 3 mil millones de registros (incluyendo datos duplicados) que habían sido robados de NPD en una filtración que podría remontarse a diciembre de 2023.

Si bien algunos detalles de lo que sucedió aun son objeto de controversia y queda mucho por resolver en las posibles demandas y desafíos legales a NPD y su empresa matriz Jerico Pictures Inc., los conceptos básicos de lo que sucedió son bastantes claros y hay algunas lecciones importantes que aprender del incidente.

Lo primero es lo primero

Una de las primeras acciones que las personas desean conocer es si sus datos personales se encuentran incluidos en la filtración de información y con ello tomar medidas para protegerse del robo de identidad. Hay varios servicios que le permiten buscar sus datos en la filtración. Una de estas alternativas es la que ofrece “pentester.com”

Si sus datos fueron filtrados, puede ir a cada una de las tres principales agencias de información crediticios (Equifax, Experian y TransUnion) congelar su informe crediticio. Esto es gratuito y evita que los ladrones de identidad intenten abrir nuevas cuentas de crédito a su nombre, puede levantar el bloqueo de su cuento de forma permanente o temporal cuando usted así lo desee por lo que aun podrá solicitar su crédito en caso de requerirlo sin la necesidad de batallar en procesos engorrosos.

Incluso si sus datos no se encuentran incluidos en la filtración en particular, todavía existe una gran posibilidad de que sus datos se encuentren en algún lugar. Cuando una persona congela los créditos por muchos años complica que pueda adquirir algún bien sin especificar el tipo, pero no marca una diferencia real en la adquisición de estos. Esta técnica proporciona una tranquilidad considerable al saber que los peores tipos de robo de identidad están enfocados en adquirir los datos de personas que se encuentran en una base de datos enfocada en el sector económico.

¿Se puede prevenir?

La pregunta clave de esta situación es ¿Cómo fue posible que alguien atravesara la (presumible) fuerte seguridad de NPD para obtener acceso a todos esos datos?

La respuesta es que no se trato de un ataque complejo y mucho menos sofisticado. NPD tenia un archivo.zip publicado en un sitio web que contenía las contraseñas de su base de datos “back-end” y alguien lo encontró, averiguo lo que era y utilizo para robar 3 mil millones de registros.

Una manera de entender como una situación se pudo presentar de esta manera establece que una persona cometió un “error tonto” y nadie pudo percatarse de ello hasta que fue demasiado tarde.

El hecho de que alguien cometa un error no se puede prevenir, los errores suceden y cuando el trabajo cuenta con personal humano es hasta cierto punto “compresible”.

Sin embargo, que las personas (no se dieran cuenta del error durante demasiado tiempo) es una acción que se puede solucionar. Justo para este tipo de detalles las auditorias rutinarias y frecuentes que incluyen un registro exhaustivo de todos los datos que se exponen públicamente a través de sitios web y aplicaciones deberían ser parte de la práctica de seguridad en cualquier empresa.

En la medida de lo posible, dichas auditorias deben complementarse con un monitoreo automatizado de los datos y archivos publicados o almacenados en entornos no seguros. Un servicio automatizado de este tipo del que se benefician muchos clientes se llama “Data Inspector”, esta herramienta permite escanear todo el entorno Microsoft 365 y encuentra una amplia variedad de datos confidenciales que se almacenan incorrectamente en ubicaciones que no son lo suficientemente seguras.

Esto reduce el riesgo de perdida de datos, respalda el cumplimiento normativo y también detecta cualquier Malware que se encuentre acechando sin que se note en sus implementaciones de SharePoint y OneDrive. De hecho, se puede ejecutar un escaneo gratuito de Data Inspector en su Microsoft 365 si usted así lo desea.

¿Existe una tranquilidad después de una vulneración?

Una de las lecciones que se deben comprender de este tema, es que la gente comete errores y es necesario primero aceptarlos, así como reaccionar rápido en la búsqueda de solucionar el error previamente cometido.

Existe otra lección mas importante para tomar un aprendizaje. El hecho de que se hayan filtrado enormes cantidades de datos y ya se encuentren disponibles para los cibercriminales y a su vez aprovechen toda esta información como lo deseen. La verdad de este hecho es que si realmente desear proteger y controlar quien puede tener acceso, se debe asumir que las contraseñas no son suficientes: que si aun no las han robado, pronto lo harán. Incluso la autenticación Multifactor puede ser muy vulnerable a los ataques más modernos.

La idea básica del modelo Zero Trust que controla constantemente muchos parámetros diferentes para garantizar la identidad de cualquier persona que acceda a los recursos digitales. Cualquier anomalía se detecta. Si se inicia sesión en una red de trabajo privado con las credenciales correctas, pero se utiliza un dispositivo desconocido o desde una ubicación inesperada o un momento incongruente, eso genera un registro y puede considerarse como una indicación de que algo no es correcto.