Una filtración masiva de datos que incluye números de Seguridad Social podría ser incluso peor de lo que se sospecha
La compañía cuya violación de datos potencialmente expuso el número de Seguro Social de todos los estadounidenses a ladrones de identidad finalmente reconoció el robo de datos y dijo que los piratas informáticos obtuvieron información aún más sensible de la que se informó anteriormente.
National Public Data, una empresa con sede en Florida que recopila información personal para realizar verificaciones de antecedentes, publicó un aviso de “Incidente de seguridad” en su sitio para informar “posibles filtraciones de ciertos datos en abril de 2024 y el verano de 2024”. La empresa dijo que la violación parecía involucrar a un tercero “que estaba tratando de piratear datos a fines de diciembre de 2023”.
Según un demanda colectiva En un documento presentado en el Tribunal de Distrito de Estados Unidos en Fort Lauderdale, Florida, el grupo de piratas informáticos USDoD afirmó en abril haber robado los registros personales de 2.900 millones de personas de National Public Data. En un foro popular entre los piratas informáticos, el grupo ofreció vender los datos, que incluían registros de Estados Unidos, Canadá y el Reino Unido, a cambio de una subvención. 3,5 millones de dólaresdijo un experto en ciberseguridad en una publicación en X.
La semana pasada, un supuesto miembro del USDoD identificado solo como Felice le dijo al foro de piratería que estaban ofreciendo “La base de datos completa del NPD”, según una captura de pantalla tomada por BleepingComputer. La información consta de unos 2.700 millones de registros, cada uno de los cuales incluye el nombre completo de una persona, su dirección, fecha de nacimiento, número de Seguro Social y número de teléfono, junto con nombres alternativos y fechas de nacimiento, afirmó Felice.
Ninguna de la información fue cifrada.
Una divulgación de este tipo sería bastante problemática, pero según National Public Data, la filtración también incluía direcciones de correo electrónico, un dato crucial para los ladrones de identidad y los estafadores.
Tener la dirección de correo electrónico de una persona facilita los ataques de phishing, que intentan engañarla para que revele contraseñas de cuentas financieras o descargue malware que puede extraer información personal confidencial de los dispositivos. Además, debido a que muchas personas usan su dirección de correo electrónico para iniciar sesión en cuentas en línea, podría usarse para intentar secuestrar esas cuentas mediante restablecimientos de contraseñas.
No está claro qué es exactamente lo que se filtró en la red oscura a partir de la filtración. En una muestra muy pequeña de escaneos realizados con Google One, no aparecieron las direcciones de correo electrónico tomadas durante la filtración de datos públicos nacionales. herramienta gratuita La empresa de ciberseguridad Pentester descubrió que otros datos personales supuestamente expuestos por la filtración, incluidos números de Seguridad Social, estaban en la red oscura.
National Public Data indicó en su sitio web que notificará a las personas si se producen “nuevos acontecimientos significativos” que les afecten. “También hemos implementado medidas de seguridad adicionales para evitar que se vuelva a producir una infracción de este tipo y para proteger nuestros sistemas”, indicó.
Anteriormente, en un correo electrónico enviado a personas que habían solicitado información sobre sus cuentas, la empresa dijo que había “purgado toda la base de datos, en su totalidad, de todas y cada una de las entradas, esencialmente excluyendo a todos”. Como resultado, dijo, ha eliminado cualquier “información personal no pública” sobre las personas, aunque agregó: “Es posible que se nos pida que conservemos ciertos registros para cumplir con las obligaciones legales”.
Leer más: Datos de casi todos los clientes de AT&T fueron descargados en una brecha de seguridad
La empresa no respondió a una solicitud de comentarios. Leyes en California y esencialmente todos los demás estados requieren que las compañías notifiquen a cualquier individuo cuya información personal sensible haya sido robada en una filtración, dijo Timothy Toohey, director de la práctica de privacidad y seguridad de datos en el bufete de abogados Greenberg Glusker en Los Ángeles.
No hay una fecha límite específica para la notificación, dijo Toohey, solo la expectativa de que se haga rápidamente. Pero el alcance de este caso plantea un desafío para National Public Data, dijo, porque tendrá que determinar cuáles de las personas afectadas aún están vivas y dónde viven actualmente, y luego cumplir con los requisitos específicos de ese estado.
“Logísticamente, esto es algo alucinante”, dijo Toohey.
En este momento, parece que el único aviso proporcionado por National Public Data es la página de su sitio web, que dice: “Le notificamos para que pueda tomar medidas que ayuden a minimizar o eliminar posibles daños. Le recomendamos encarecidamente que tome medidas preventivas para ayudar a prevenir y detectar cualquier uso indebido de su información”.
Ese tipo de aviso no satisfaría los requisitos de la ley de California, que también requiere que la oficina del fiscal general del estado sea informada de cualquier infracción que afecte a más de 500 residentes del estado, dijo Toohey.
Los pasos recomendados por National Public Data incluyen verificar sus cuentas financieras para detectar actividades no autorizadas y colocar una alerta de fraude gratuita en sus cuentas en las tres principales agencias de crédito. Equifax, Experian y TransUniónUna vez que haya colocado una alerta de fraude en su cuenta, la compañía le aconsejó que solicite un informe crediticio gratuito y luego verifique si hay cuentas y consultas que no reconoce. “Pueden ser señales de robo de identidad”.
Hasta ahora, la empresa no ha ofrecido servicios gratuitos de monitoreo de crédito para personas cuya información fue robada, a diferencia de otras empresas que han sufrido violaciones masivas de datos. “Normalmente, con una notificación de violación de datos, ofreces algo porque quieres parecer proactivo y estar ayudando a las personas”, dijo Toohey.
“Las empresas lo ven como si hubiera ocurrido algo malo. La empresa, por supuesto, se siente víctima, pero esa no es la impresión que tiene el público en general”.
Los expertos en seguridad también recomiendan congelar sus archivos de crédito en las tres principales agencias de crédito. Puede hacerlo de forma gratuita y evitará que los delincuentes soliciten préstamos, soliciten tarjetas de crédito y abran cuentas financieras a su nombre. El truco es que deberá recordar levantar temporalmente la congelación si está obteniendo o solicitando algo que requiera una verificación de crédito.
Mientras tanto, dicen los expertos en seguridad, asegúrese de que todas sus cuentas en línea utilicen autenticación de dos factores para que sea más difícil secuestrarlas.
También es importante buscar señales de que un correo electrónico o un mensaje de texto no es legítimo, dada la proliferación de “estafas de impostores”. Mediante mensajes camuflados para que parezcan una consulta urgente de su banco o proveedor de servicios, estas estafas intentan engañarlo para que revele las claves de su identidad y, potencialmente, sus ahorros. Cualquier solicitud de información personal confidencial es una gran señal de alerta.
Aleksandr Valentij, de la empresa de ciberseguridad Surfshark, sugirió comprobar cuidadosamente la dirección de correo electrónico del remitente para ver si no coincide exactamente con el nombre de la organización a la que supuestamente representa y buscar errores tipográficos o gramaticales, dos señales reveladoras de una estafa. Y si el mensaje proviene de alguien con quien nunca has interactuado antes, dijo Valentij, evita hacer clic en enlaces, incluido un enlace o botón de “cancelar la suscripción”, porque los actores maliciosos los usarán con fines maliciosos.
“Si sospecha que ha recibido un correo electrónico de phishing, no interactúe con él e infórmeselo a su proveedor de correo electrónico”, dijo Valentij. “Si se trata de alguien que se hace pasar por una organización legítima, también debe informarlo a esa organización. Una vez hecho esto, elimine el correo electrónico y esté atento a correos electrónicos similares en el futuro”.
Esta historia apareció originalmente en Los Angeles Times.