La información extraída de las base de datos de gobierno y empresas están expuestas en la DeepWeb y en foros públicos de fácil acceso.
Información de acceso de usuarios comunes a sus universidades, AFP, ClaveÚnica a redes sociales, sistemas de entretenimiento (desde Netflix hasta PornHub), llegando hasta datos de acceso a redes industriales, bases de datos de sistemas del Estado, entre otros, se encuentran a la venta libremente en internet.
Esto no es nuevo, siendo una práctica delictiva común que no sólo se encuentra en la Deep Web, como suele creerse, sino que incluso se da en foros públicos de fácil acceso. Este es uno de los casos que denuncia el desarrollador e investigador de seguridad informática, Fernando Lagos, apuntando contra una plataforma conocida como RaidForums.
Para Lagos, el fácil acceso al sitio da fe de que “la información está más a la mano de lo que se cree”. Y no es la única plataforma, pero sí una que en los últimos meses junto a su equipo detectó que comenzó a afectar de forma directa y masiva a chilenos, aunque se desconoce el real alcance del daño que los ciberdelincuentes están causando.
En dicho sitio web, se venden bases de datos con información privada de todo el mundo, incluyéndose entre los afectados a víctimas chilenas. En su indagación, encontró también en venta el acceso al panel de administración de una infraestructura de sistemas eléctricos de una empresa chilena de gran importancia en su rubro -lo que ya habría sido resuelto por ésta-, y de bases de datos de distintas empresas y gobiernos.
El Estado, el mayor tratador de datos
Según explica Lagos a BioBioChile, esta información de los usuarios se consiguió mediante un programa que permite registrar las teclas presionadas en el teclado. Para el especialista, que reportó esta situación al CSIRT (el equipo de respuesta ante incidentes del Ministerio del Interior), aún falta avanzar en la notificación a los usuarios afectados por estos casos.
“Hoy en día, hay una filtración de datos, ya sea por responsabilidad de quien administra esos datos o del usuario, y nadie le avisa al afectado”, cuestiona Lagos.
Yendo más allá, según acota Pablo Voillier de Derechos Digitales, este tipo de plataformas son parte de un ecosistema de tratamiento ilegítimo de datos personales alimentado por varias fuentes, siendo una de las más importantes el Estado.
Una de las formas en que esto se manifiesta, explica Voillier, es mediante la negligencia por la que esta información llega a este mercado negro, cuando “datos súper sensibles tienen cero resguardos técnicos o lo filtra un exempleado”, por ejemplo. “Al final del día, el Estado es el mayor tratador de datos personales a nivel nacional, el que trata más datos y de forma más negligente”, plantea.
Cuatro de 10 empresas sufrieron un ataque
Por su parte, las empresas privadas tienen una mayor conciencia al resguardar sus datos y construir una infraestructura digital segura. Según un estudio de Microsoft e Ipsos sobre la ciberseguridad de empresas chilenas, más del 50% de las compañías declaran que los ciberataques son un tema prioritario para sus directivos.
Las principales preocupaciones de las empresas son la fuga de información (71%) y que un ataque afecte a la continuidad operacional de la compañía (67%), mientras que las soluciones que mayormente han aplicado fueron la compra e instalación de software de seguridad (61%), como antivirus y firewalls.
“Sin embargo, también se aprecia que quienes están más conscientes de las amenazas son aquellas empresas que han tenido algún ataque y eso hace que la respuesta sea más bien reactiva, quedando mucho por hacer en prevención de estos delitos”, comenta el subgerente de asuntos públicos de Ipsos, Miguel Ángel Pinto. Lo que justifica el resultado principal del informe: de cada 10 empresas chilenas, cuatro han sufrido alguna vez un ataque cibernético, y, además, solo 38% de los encuestados afirman “tener la cantidad suficiente de personas para manejar este tipo de riesgos”.