En un episodio de violación de datos considerado épico, los piratas informáticos podrían haber sustraído números de Seguro Social y otra información sensible de cada estadounidense. Según un informe de Los Angeles Times, aproximadamente cuatro meses después de que un notorio grupo de hackers proclamase haber robado una cifra extraordinaria de datos personales del importante corredor de datos, National Public Data, un miembro del grupo liberó la mayoría de dicha información de manera gratis en un mercado de datos personales robados online.
Teresa Murray, directora de vigilancia del consumidor del US Public Information Research Group, expresó su preocupación sobre el impacto de esta violación. “Si de hecho esto es prácticamente el expediente completo sobre todos nosotros, ciertamente es mucho más preocupante que las violaciones anteriores“, dijo Murray en una entrevista con Los Angeles Times. “Y si las personas no tomaron precauciones en el pasado, esto debería ser una alerta de cinco alarmas para ellos”.
La demanda colectiva presentada en el Tribunal de Distrito de los EEUU en Fort Lauderdale, Florida, informa que el grupo de hackers USDoD afirmó en abril haber robado 2.9 mil millones de registros personales de National Public Data, que proporciona información a expertos, investigadores privados y agencias de verificación de antecedentes. Los hackers ofrecieron vender los datos en un foro por 3,5 millones de dólares. La demanda fue reportada por Bloomberg Law.
La semana pasada, un supuesto miembro del grupo identificado como Felice, publicó en el foro de hackers ofreciendo la “base de datos completa de NPD”. BleepingComputer capturó esta publicación y explicó que contiene aproximadamente 2,7 millones de registros, incluyendo nombre completo, dirección, fecha de nacimiento, número de Seguro Social y número de teléfono. “La información consta de unos 2,7 mil millones de registros”, afirmó Felice.
Hasta el momento, National Public Data no ha respondido a solicitudes de comentarios ni ha notificado formalmente a los individuos afectados. No obstante, ha enviado correos electrónicos afirmando que están conscientes de las afirmaciones y están investigando al respecto, además de haber eliminado toda la base de datos. Faltan aún detalles sobre cualquier “información personal no pública” que se pueda haber retenido por requerimientos legales.
Varios medios de comunicación especializados en ciberseguridad, incluido BleepingComputer, revisaron muestras de los datos ofrecidos por Felice y confirmaron que parecían corresponder a información real. La amenaza de robo de identidad y otras actividades fraudulentas es significativa. Murray dijo a Los Angeles Times que “con suficiente información, los actores maliciosos podrían hacer todo tipo de cosas, como tratar de tomar el control de las cuentas bancarias, inversiones y seguro“.
Algunos expertos en seguridad recomiendan congelar los archivos de crédito en las tres principales agencias de crédito (Experian, Equifax y TransUnion) para prevenir accesos no autorizados. Murray de PIRG recomienda no responder a correos electrónicos o mensajes de texto no solicitados que parezcan provenir de estas agencias, ya que podrían ser intentos de phishing.
Asimismo, Los Angeles Times menciona que puede ser útil suscribirse a servicios de monitoreo de identidad que supervisan la dark web. Varios expertos subrayan la importancia de tener contraseñas seguras y activar la autenticación de dos factores en todas las cuentas importantes, para agregar capas adicionales de seguridad.
AT&T, T-Mobile y Verizon ofrecen diversas formas de proteger tu número de teléfono de ser secuestrado mediante técnicas como intercambio de SIM y fraude de portabilidad. Estos métodos agregan medidas adicionales para asegurar que la cuenta solo pueda ser accedida con confirmación de la información existente del usuario.
El informe resalta que uno de los mayores riesgos proviene de estafadores que manipulan emocionalmente a sus víctimas, haciéndose pasar por entidades de confianza como bancos o proveedores de servicios. Murray advirtió a los lectores que nunca deben hacer clic en enlaces o números de teléfono en mensajes no solicitados, sino buscar directamente el número de contacto oficial de la entidad en cuestión para confirmar cualquier posible riesgo.