Las páginas de contactos trabajan con información de alta sensibilidad, según establece la ley, y son objetivo de ciberdelincuentes. En España, las compañías tienen que cumplir con las máximas medidas de seguridad y permitir a sus usuarios acceder, modificar o eliminar sus datos de manera sencilla y gratuita
Tinder, Badoo y Meetic son algunas páginas de contactos
Meetic, Badoo, eDarling, Tinder… ¿Te suenan? Seguro que sí. Estar dado de alta en cualquier página web para ligar o conocer gente no es un delito. Sí lo es, en cambio, no velar por la seguridad de los usuarios, quienes revelan a un «site» de este tipo todos sus datos personales, los cuáles van a parar a servidores internos de compañías.
El reciente «hackeo» a Ashley Madison ha puesto en alerta a todos los usuarios. DNI, datos bancarios, nombres y apellidos completos… fueron interceptados por «Impact Team», el equipo de ciberdelincuentes que filtró los datos de los más de 30 millones de usuarios registrados en el famoso portal para infieles. ¿Por qué lo hicieron? El grupo chantajeó a la compañía canadiense con publicar toda esa información si no daban de baja real a los usuarios que así lo habían solicitado. Y es que Avid Life Media, la compañía a la que pertenece Ashley Madison, había ganado más de 1.7 millones de dólares en 2014 «eliminando» las cuentas de los usuarios que así lo solicitaron, tal y como publicó BuzzFeed. El problema es que, en realidad, nunca borraron estos datos y, sin embargo,cobraron 19 dólares a cada una de las 90.000 personas que así lo solicitaron. «Impact Team» decidió, así hacer «justicia».
«Fue una extorsión», explica para ABC Carlos Díaz, experto en seguridad informática. Las páginas de contactos, en las que miles de personas se registran cada día alrededor del mundo, son objetivo de ciberdelincuentes. «No hay que olvidar que albergan información sensible», explica. Los «crakers» conocen muy bien sus objetivo: toda base de datos o sistema que contenga información con la que se pueda extorsionar o lucrarse, previa venta, es susceptible de ser atacada.
Aunque los expertos no se cansan de dar pautas y consejos sobre seguridad informática a la hora de navegar por internet o registrarse en diferentes redes sociales, el caso de Ashley Madison demuestra una vez más por qué el usuario debe valorar sus acciones en la red.
«Desde el momento que nuestros datos son vertidos en un sistema perdemos el control sobre ellos, no tenemos la certeza de dónde se encuentran ni por dónde han pasado ni quién tiene acceso a ellos», comienza explicando Carlos Díaz.
¿Sabemos entonces qué hacen con nuestra información? Los «crackers» penetran en los sistemas con fines lucrativos o mailintencionados así que nos hacemos una idea de lo que pueden hacer con nuestra información. Frente a ellos están los «hackers» -tal y como recuerda Díaz-, es decir, un experto en seguridad que ayuda a mejorar la misma seguridad de los sistemas. «En función del país desde el que ofrezcan el servicio, tendrán una legislación más permisiva o menos en cuanto al tratamiento de la información, la cesión a terceros, etc.», apunta.
¿Qué hacen con nuestros datos?
Las compañías «están ‘más o menos obligados’ a informar al usuario aceptando unos términos de uso que generalmente están escritos en una fuente muy pequeña y en líneas generales nadie se lee», dice Carlos Díaz. «En esto tenemos que intentar mejorar -reconoce- y concienciar más a la gente ya que muchas veces se está aceptando que nuestros datos serán usados con fines comerciales y serán cedidos a terceros. Después, nos extrañamos de que nos llamen de X empresa para ofrecernos un producto bancario o mejorarnos el contrato de ADSL».
Ante esta situación, el panorama online resulta un tanto aterrador. «No hay que fiarse», recuerda el experto a la hora de confiar nuestros datos privados en internet. «No sabemos si el sistema o la aplicación tiene o puede tener una falla de seguridad o configuración», justo lo que ha sucedido con Ashley Madison. «Y tampoco sabemos quién está detrás del sistema», recuerda. ¿Acaso sabes quién gestiona y ve tus datos en eDarling o Badoo?
La Oficina de Seguridad del Internauta (OSI) también insiste en esta misma línea. «Antes de facilitar información personal debemos contemplar la posibilidad de una filtración de datos ya que ningún servicio es 100% seguro», indica. Por ello, considera «importante fijarse en la reputación del servicio y la confiabilidad que ofrece».
«Por otro lado -continúa OSI-, cuando nos registremos en un servicio, debemos ponernos en lo peor y pensar qué podría pasar ante una fuga la información». Así, aconseja usar pseudónimos o direcciones de email alternativas. «En caso de tener que facilitar datos bancarios para utilizar un servicio que consideramos sensible, siempre que sea posible, hagamos uso de tarjetas virtuales anónimas u otros métodos de pago que nos permitan proteger nuestra privacidad, como por ejemplo Paypal», apunta la entidad.
Las páginas de contactos, como objetivo de ciberataques deberíaninvertir en seguridad. «Todas las empresas cuyo negocio esté basado en la web o en un sistema expuesto en internet deberían hacerlo. Y más aún si maneja información así de sensible», apunta Díaz. El problema es que «no todas las empresas lo hacen y las que lo hacen no enfocan correctamente los recursos», apunta si bien Carlos Díaz recuerda que «implantar seguridad es un proceso que lleva tiempo».
La protección de los datos personales
Aquí está otro de las factores claves: la protección de datos. Las empresas que manejan datos de carácter personal, ofreciendo servicios a usuarios de distintos países, tienen que cumplir las normas específicas de cada país, tal y como recuerda el Instituto Nacional de Ciberseguridad (INCIBE). En el caso de España, la Ley Orgánica de Protección de Datos.
Los datos personales se clasifican en tres niveles en base a su nivel de sensibilidad (bajo, medio y alto). «En particular, los ficheros con datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual son considerados como de nivel alto», recuerda INCIBE. Por tanto, Ashley Madison, Badoo, Tinder, Meetic, eDarling y compañía «deben cumplir las máximas medidas de seguridad y permitir a sus usuarios acceder, modificar o eliminar sus datos de manera sencilla y gratuita», afirma el Instituto.
Los usuarios, por tanto, están desprotegidos. «No tenemos garantías de que la información que vertamos en la plataforma no salga de ahí en un futuro. O quizás esté saliendo en ese mismo instante», señala Díaz. «Podrás tener más o menos capacidad de reclamar en función de la legislación del país, tipo de servicio prestado, contrato, etc… pero no existe forma de garantizar que esto no vaya a pasar», insiste el experto.
En España, este tipo de portales se someten a auditorías internas o externas de seguridad cada dos años, o cuando se realicen modificaciones en las páginas web, tal y como establece la LOPD. «A la vista de hechos como el del Caso Ashley Madison, se constata, la importancia de cumplir con la normativa de cada país, no solo por el daño moral y económico que se puede causar a los usuarios, sino también por las posibles sanciones, que puedan ocasionar que estos datos puedan ser públicos», recuerda INCIBE. Tal es el caso de Ashley Madison, que se enfrenta a una demanda colectiva por valor de 576 millones de dólares (unos 500 millones de euros).
Por tanto, ¿algún consejo? «No compartas o hagas público nada que no quieras que el día de mañana se conozca, hay que aplicar el sentido común igual que lo aplicamos en otras situaciones cotidianas», indica Díaz.
Fuente: ABC.es