Alberto Scharffenorth
@digitalaldea
Mi sobrino está comenzando sus estudios en la Universidad de Miami. Sus padres viven lejos de la zona y como tantos otros adolescentes americanos él comenzó a buscar un pequeño apartamento cerca del Campus para rentar. La exitación de la nueva aventura de independencia duró poco; a los tres días de haber sometido la aplicación, el chico recibió una notificación del agente inmobiliario indicando que su solicitud había sido denegada porque según la rutina de verificación de antecedentes una persona con su nombre y número de Seguro Social estaba solicitada por la Justicia en el Estado de Ohio por posesión de meta anfetaminas y transgresión de propiedad privada. Después de una tortuosa sucesión de trámites que incluyeron un tour por mas de cinco agencias de seguridad, polícias y abogados, mi sobrino está ya dedicado a sus estudios, viviendo en un apartamento estudiantil, pero condenado indefinidamente a llevar consigo un documento que explica su inocencia, ya que la asociación de su identidad a estos crímenes es muy dificil de ser eliminada.
El robo de números del Seguro Social y otras informaciones sensibles que pueden poner en peligro la privacidad de los ciudadanos y causarles enormes daños patrimoniales y de reputación no es una práctica que nació con la revolución tecnológica, sólo se ha reproducido exponencialmente por la facilidad que tienen los criminales cibernéticos de cosechar grandes cantidades de datos mediante mecanismos de intrusión electrónica. Pero el uso de identidades robadas ya no solo se limita a obtener un nuevo rostro para cometer felonías atribuyendo su responsabilidad a terceros inocentes o para contraer deudas de modo fraudulento, los más recientes incidentes de sustracción de datos personales se relacionan con aspectos de seguridad nacional.
Dos sustracciones masivas en un mes
En lo que va del mes de junio, dos graves incidentes de robo masivo de datos han ocurrido en los Estados Unidos sin que hayan alcanzado los grandes titulares. A pesar de haber sido reportados por las grandes agencias de noticias, no termina de estar claro cuántos incidentes o eventos de irrupción han sido los que han comprometido las identidades y fichas de información sensible de hasta un número de 14 millones de funcionarios que han tenido rangos de acceso de seguridad en el gobierno federal. Los datos filtrados incluyen información médica, comportamientos de conducta, delitos y relaciones familiares. Lo que hace muy vulnerables a las personas cuyos datos han sido sustraídos en su condición de personal con accesos de seguridad en el gobierno.
Por su parte, la Casa Blanca emitió un comunicado el 8 de junio reconociendo que efectivamente una cantidad masiva de registros de funcionarios del gobierno Federal habían sido sustraídos de las bases de datos de la OPM (Oficina Central de Personal). Con respecto a ello, varios expertos en seguridad e inteligencia, aseguran que las violaciones han tenido su origen en China, sin embargo no está claro si tales acciones provienen de las unidades gubernamentales chinas de “Armamento Informático” o si se trata de grupos inescrupulosos independientes.
Según una investigación de Olivier Knox, corresponsal jefe en Washington de los servicios de noticias de Yahoo, numerosos funcionarios activos del gobierno federal han recibido una comunicación de la OPM informándoles que probablemente sus datos privados, incluyendo sus números de seguro social, han sido filtrados por desconocidos. En la comunicación se les invita a cambiar las claves de acceso de sus cuentas de correos, páginas bancarias y otros sitios sensibles. Adicionalmente se les ofrece ayuda profesional en el caso de verse afectados por un robo evidente de identidad e incluso el acceso a un seguro que puede cubrir daños hasta por un millón de dólares.
También un reporte de NPR (National Public Radio) captó la afirmación de Jay Jacobs, experto en Investigación de datos y miembro de la iniciativa de la empresa Verizon, que reporta anualmente un compendio de las transgresiones de datos en su informe DBIR, según la cual hasta un 80% de los números de seguro social han sido sustraídos de diferentes repositorios.
La peligrosa vida digital
Con frecuencia casi rutinaria irrumpe en el espacio noticioso la novedad de una sustracción de cientos de miles y hasta millones de datos de tarjetas de crédito y otros datos personales de alguna cadena comercial. Entre los más recientes destacan el de Target con más de 40 millones de registros comprometidos, Home Depot que reportó 53 millones de cuentas de correo sustraídas y en menores magnitudes, Nieman Marcus, PF Chang, Dairy Queen, UPS y Community Health Systems, de este último fueron sustraídos los registros personales de 4,5 millones de pacientes en un ataque aparentemente originado en China. Adicionalmente otra media decena de comercios masivos fue víctima de ataques con sustracción de datos sensibles de sus clientes solo en 2014.
Ya las rutinas recomendadas de cambios frecuentes de claves de acceso y los mecanismos de verificación de dos y tres pasos parecen haber quedado obliteradas por la gran sofisticación y destreza de los atacantes, que no se molestan en captar claves de forma individual sino que van a los repositorios masivos de información. El nivel de exposición de los ciudadanos a posibles violaciones de sus datos personales es inmenso: el promedio de tarjetas de crédito y débito que poseen las personas en Estados Unidos es de 4,2 y la cantidad de sitios a los que se accede con claves personales que colectan datos sensibles se pueden contar por decenas: cada persona se relaciona con cuatro o cinco tiendas en línea, bancos, entidades gubernamentales, institutos educativos, expendios de comida.
Se hace evidente que existe un desfase enorme entre el desarrollo vertiginoso de la vida digital y los mecanismos de seguridad disponibles para transitar por ella. Algunos dispositivos como las verificaciones biométricas (huellas, iris, rostros) pueden ser parte de la solución, sin embargo se torna imperativo que los protocolos de colección y almacenamiento de información personal y financiera abandonen la naturaleza alfanumérica que los hace vulnerables, pero no veremos estos cambios hasta muy entrada la próxima década. Mientras tanto deberemos conformarnos con dejar de usar “123456” como nuestra clave de acceso universal.
