Los datos de mi tarjeta de crédito robada se utilizaron a 4.500 millas de distancia. Traté de averiguar cómo sucedió


Cuando el reportero de ciberseguridad Danny Palmer descubrió que su tarjeta aparentemente se usaba en otro continente, se propuso descubrir más.

Un jueves de febrero, estaba relajándome y viendo la televisión cuando mi noche fue interrumpida por el ping de un mensaje de texto de mi banco.

"En breve recibirá un SMS para confirmar la actividad reciente en su tarjeta".

Me quedé perplejo. Ciertamente no había hecho ninguna compra extraña o inesperada ese día, entonces, ¿de qué se trataba? Aproximadamente 30 segundos después, recibí mi respuesta en un segundo mensaje de texto.

Decía que los datos de mi tarjeta de crédito se habían utilizado menos de un minuto antes para intentar realizar un pago de 108 libras esterlinas en una tienda llamada con un nombre desconocido.

Una búsqueda rápida en línea reveló que se trataba de un supermercado en la ciudad de Paramaribo, Surinam, un pequeño país en la costa noreste de América del Sur, que limita con Brasil, Guyana y la Guayana Francesa. Eso es bastante lejos de mi casa en Londres, así que estaba bastante seguro de que no había entrado en esa tienda para recoger nada en los últimos 60 segundos.

La alerta me pidió que confirmara la transacción respondiendo con 'Sí' o 'No'. Se me pasó por la cabeza que quizás se trataba de una estafa de doble o triple farol y que al responder a un mensaje de texto inesperado estaría cometiendo un gran error. Por si acaso elegí llamar al banco.

Confirmaron que sí, alguien había intentado usar los datos de mi tarjeta a más de 4.500 millas de Londres, pero el intento de pago se bloqueó como sospechoso, por lo que no se robó dinero.

Cancelé mi tarjeta y pedí una nueva como precaución de seguridad recomendada, dado que otra persona tenía mis datos. Pero como periodista me quedé preguntándome cómo sucedió esto.

¿Cómo fue que me robaron mis datos bancarios, se los pasaron a alguien del otro lado del mundo y se usaron casi con éxito en lo que parecía ser un pequeño minorista en Surinam?

Las tarjetas de crédito son una solución y parte del problema

Las tarjetas de débito y crédito son una parte de la vida cotidiana en la que no pensamos, pero no hace mucho tiempo se habrían sentido como un concepto extraño para quienes usan moneda física para comprar cosas. La primera tarjeta de crédito del Reino Unido se emitió en 1966, mientras que la primera tarjeta de débito no llegó al Reino Unido hasta 1987.

Ahora, hay más de 51 millones de titulares de tarjetas de débito en el Reino Unido, lo que representa el 96 por ciento de los adultos, mientras que más de 32 millones de adultos del Reino Unido tienen una tarjeta de crédito. Según la asociación comercial UK Finance, el gasto total en tarjetas de crédito y débito representó más de £ 800 mil millones durante 2018, con más de 20 mil millones de transacciones en el transcurso del año.

Tal es la creciente popularidad del uso de pagos con tarjeta, ayudado por las compras en línea y la capacidad de realizar pagos sin contacto en las tiendas, que ha superado al efectivo como la forma de pago más común en el Reino Unido, y el número de pagos con tarjeta sigue creciendo.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Los estamos usando mucho más en línea también. Eso hace que sea más fácil para todos comprar todo tipo de bienes y servicios, pero también significa que si los delincuentes tienen los detalles, pueden usar su cuenta incluso si la tarjeta física está segura en su bolsillo, porque con las compras en línea, que solo requiere la entrada de números de tarjeta de crédito, la tarjeta no necesita estar presente.

Y la desafortunada verdad es que los delincuentes tienen acceso a una gran cantidad de números de tarjetas de crédito, gracias a oleadas casi constantes de violaciones de datos de empresas grandes y pequeñas.

20200915-danny-karen-cover.jpg

En este video, el reportero de ciberseguridad Danny Palmer le cuenta a Karen Roby lo que descubrió cuando trató de averiguar cómo alguien en Sudamérica intentó usar sus datos bancarios.

Entonces, ¿cómo están accediendo los ciberdelincuentes a todos estos datos, cómo los comercian y qué tan grande es esta economía clandestina ilícita?

"Es una pregunta realmente interesante porque no tiene una respuesta clara. Esto suena realmente rumsfeldiano, pero hay incógnitas desconocidas", dice Troy Hunt, creador de ¿Me han engañado?, un sitio web que permite a las personas verificar si su dirección de correo electrónico, contraseña u otros datos personales se han visto comprometidos en una infracción.

¿Me han engañado? actualmente contiene datos sobre casi 10 mil millones de cuentas comprometidas de más de 450 sitios web y volcados de datos que han sido publicados públicamente por piratas informáticos, pero es casi seguro que eso es solo una muestra de la información que ha sido robada a lo largo de los años, porque hay muchas más violaciones de datos donde los piratas informáticos no han hecho públicos los datos.

"Sabemos que hay una gran cantidad de incidentes, que han aparecido en los titulares, que no están en el sistema", dice Hunt.

También hay muchas más infracciones en empresas más pequeñas que es posible que ni siquiera aparezcan en los titulares, pero que aún podrían involucrar el robo de datos personales de miles de personas.

Las empresas deben tener más cuidado con sus datos

Hay varias formas en que los delincuentes pueden robar datos.

Un ejemplo clásico de esto es el malware de punto de venta (PoS), que es un software malicioso que las pandillas instalan en los terminales de PoS que las tiendas, restaurantes, bares y otros minoristas utilizan para recibir pagos con tarjeta, una parte clave de casi cualquier negocio al por menor.

Y es porque son parte del mobiliario que muchos de estos sistemas son tan vulnerables, porque las organizaciones olvidan que son un sistema informático que puede contener vulnerabilidades y necesita ser actualizado. Las empresas pueden pasar años sin saber que la información de pago del cliente se copia y se roba cada vez que se realiza una transacción.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/09/16/1d3a38a9-89e1-48ac-8bef-8ac5a219520b/resize/370x/0e8ae65cd3232a1ba698a6dd6372bc3a/isredittock-12120643382 "target =" _ blank "componente de datos =" modalEnlargeImage "título de datos ="

Los sistemas PoS pueden ser vulnerables a los ataques, al igual que otros dispositivos de Windows.

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">-1212064382-creditcard3.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/09/16/1d3a38a9-89e1-48ac-8bef-8ac5a219520b/resize/370x/0e8ae65cd3232a1ba698bc3dda6372tock -1212064382-creditcard3.jpg

Los sistemas PoS pueden ser vulnerables a los ataques, al igual que otros dispositivos de Windows.

Imagen: Getty Images / iStockphoto

Es posible instalar malware en terminales PoS físicamente, pero dichos sistemas también pueden verse comprometidos en la propia red corporativa como resultado de una campaña de piratería.

El ataque podría comenzar con un correo electrónico de phishing dirigido a empleados desprevenidos o con un enfoque más técnico dirigido a los puertos remotos de la red orientados a Internet como una forma de ingresar a la red y moverse a través de la red hasta la unidad PoS para instalar malware.

Esto es posible porque la mayoría de los sistemas PoS se ejecutan en una versión modificada de Windows, lo que significa que la computadora puede ser vulnerable a ataques como otros dispositivos de Windows. Y aunque la mayoría de los sistemas Windows en una red deberían recibir parches de seguridad regulares para garantizar que no puedan ser víctimas de un ataque, es muy fácil que se olvide el terminal PoS.

Ese fue el caso del minorista Dixons Carphone, que tenía instalado malware PoS en más de 5000 terminales entre julio de 2017 y abril de 2018 e información de tarjetas de más de cinco millones de clientes a los que acceden los piratas informáticos.

UNA informe de la Oficina del Comisionado de Información señaló "fallas sistemáticas" en la forma en que el minorista salvaguardaba los datos personales y administraba la seguridad de sus redes, incluida la falla al parchear los sistemas contra vulnerabilidades conocidas.

Existe la expectativa de que las empresas más grandes, en su mayor parte, presupuestarán para la seguridad de TI y actualizarán la red cuando sea necesario, pero para las empresas más pequeñas que pueden no ser tan simples, sin embargo, también serán el objetivo de los piratas informáticos, especialmente si son vistos como un blanco fácil.

"El cambio es difícil para todos, especialmente para las pequeñas empresas. Si esa terminal de tarjeta de crédito funciona, ¿desea gastar cientos para actualizar un nuevo sistema que tiene que aprender a usar? Las empresas solo quieren que se les pague con normalidad", dice Kevin. Lee, arquitecto de seguridad y confianza digital en Sift, una empresa de prevención del fraude en los pagos.

Es por eso que el malware de PoS sigue siendo tan común y, potencialmente, cómo se robaron los detalles de mi tarjeta. Pero está lejos de ser la única forma en que pudo haber ocurrido.

VER: Kit de contratación: analista de seguridad (TechRepublic Premium)

Otro medio común de robo de información de la tarjeta es directamente desde los cajeros automáticos. Si bien es posible instalar malware de forma remota en los cajeros automáticos (después de todo, en su mayoría son solo PC con Windows y, a menudo, versiones antiguas de Windows), la manipulación física de los dispositivos proporciona a los atacantes un medio aún más simple de robar datos bancarios.

Estos ataques de skimming ven a los delincuentes colocando sus propios componentes de lectura de tarjetas en la parte superior del dispositivo real, lo que les permite no solo ver los detalles de la tarjeta contenidos en la banda magnética, sino también ver el código PIN, proporcionándoles todos los datos que necesitan. necesita realizar pagos y retiros, o recopilar esa información para venderla.

"Es muy posible que haya usado su tarjeta en un cajero automático y haya habido un skimmer que haya leído su tarjeta y alguien haya descubierto cómo clonar su tarjeta y la haya vendido en línea. Eso es completamente factible: es posible que su tarjeta no haya estado involucrada en una brecha en absoluto, pero una mínima ", dice Leigh-Anne Galloway, directora de investigación de seguridad comercial en Cyber ​​R&D Lab.

"Todavía hay una gran cantidad de skimmers en circulación. Siguen siendo bastante populares porque funcionan".

Tus datos podrían estar en un mercado clandestino

En algunos casos, los delincuentes utilizarán la información de la tarjeta robada para sí mismos, simplemente usando los detalles para clonar la tarjeta o para realizar compras en línea. Pero vincular las compras realizadas con una tarjeta robada directamente a su propia identidad probablemente correrá el riesgo de que los descubran más temprano que tarde.

Es por eso que vender los detalles de tarjetas robadas en línea es la opción de menor riesgo para los delincuentes con una gran cantidad de detalles de tarjetas de crédito para vender. Y con las violaciones de datos a gran escala tan comunes, el mercados clandestinos criminales la especialización en el comercio de información robada está muy ocupada.

"Los ciberdelincuentes solo buscan una forma de monetizar los datos que obtienen y, a menudo, es mucho más complicado de lo que la gente cree. Si eres bueno escribiendo malware pero no sabes qué hacer con la información de la tarjeta de crédito, eso es por qué recurriría a la clandestinidad ", dice Liv Rowley, analista de inteligencia de amenazas en Blueliv. "A veces está claro después de grandes violaciones de datos y se transfieren", dice.

VER: Ciberseguridad 101: proteja su privacidad de piratas informáticos, espías y el gobierno (ZDNet)

Hay docenas de tiendas de tarjetas diferentes a la vez, ya que los delincuentes intentan intercambiar detalles robados mientras permanecen fuera del ojo de la ley. Algunos permanecen en el negocio durante mucho tiempo, mientras que otros son cerrados, ya sea por las fuerzas del orden público o por los propios operadores en un esfuerzo por evitar que los atrapen. Uno de los más grandes y exitosos es Joker's Stash, que a menudo se usa como una forma de Vender millones de detalles de tarjetas de crédito y otra información personal en cualquier momento..

Este foro en particular también tiene vínculos con Fin7, un prolífico grupo de piratería que ha detalles robados sobre millones de tarjetas de crédito de minoristas, restaurantes, casinos y otros a lo largo de los años. Si Fin7 está detrás de una violación de datos, los detalles a menudo aparecen a la venta en Joker's Stash.

A principios de este año, las autoridades estadounidenses vincularon directamente a Fin7 con Joker's Stash, entre otros foros de tarjetas. en una acusación tras el arresto de ciudadanos ucranianos acusados ​​de ser miembros del grupo de piratería.

Sin embargo, no parece que el robo de mis datos estuviera relacionado con alguna de estas infracciones, al menos cualquiera que esté a la luz pública, entonces, ¿cuáles son las otras opciones si fue robado en una violación de datos?

Hay foros de tarjetas más pequeños donde los usuarios se presentan para vender los datos que han robado, y los compradores potenciales pueden intercambiar para comprar tantos o tan pocos como deseen; a veces, los detalles de una sola tarjeta robada pueden costar menos de un dólar.

En muchos casos, el proceso está completamente automatizado y los usuarios pueden establecer en quién se puede confiar a través de las revisiones que han dejado los compradores anteriores, al igual que cualquier otro entorno minorista en línea de igual a igual.

"Realmente no necesita interactuar con nadie, simplemente vaya allí, busque lo que está buscando y cómprelo. Es bueno para los ciberdelincuentes porque es un proceso sin dolor", dice Rowley. El dolor lo sienten, por supuesto, las víctimas.

Dos segundos que marcan la diferencia

Podría ser que los detalles de mi tarjeta pasaron por algunas manos diferentes antes de terminar en Sudamérica, pero ¿por qué, de todos los lugares, fue una gasolinera o una pequeña tienda de conveniencia donde parece que se intentó una copia de la tarjeta? ¿usado?

"Tenemos dos segundos para tomar la decisión. Hubiéramos decidido en los primeros dos segundos rechazar eso".

Paul Davis, director de fraudes minoristas del Lloyds Bank del Reino Unido

Imprimir tarjetas es un proceso relativamente simple para los delincuentes y las herramientas físicas que necesitan para hacerlo no son realmente ilegales. Después de todo, las tarjetas de identidad de plástico existen en muchos lugares de trabajo, y necesitan poder imprimirlas, mientras que también es posible comprar y usar una impresora en relieve para perforar detalles bancarios e información personal en las tarjetas para que parezcan reales.

"Usted es un ciberdelincuente y ha comprado estos datos, y son solo números sin procesar. Toma esos datos, toma una tarjeta de plástico e imprime la información bancaria correcta, muestra las letras del nombre y los números que deberían estar en ello ", explica Rowley. "Luego, escribe la información en la banda magnética y eso debería funcionar", agrega.

Para los ciberdelincuentes, el lugar perfecto para probar si estas tarjetas, y los datos bancarios que han robado, funcionan son los pequeños minoristas, ya que a menudo no cuentan con una seguridad sofisticada.

"Las gasolineras son un gran lugar para comprobar los números de las tarjetas de crédito porque no tienes que lidiar con el encargado del servicio de gasolina; introduces la tarjeta y, si funciona, obtienes un tanque de gasolina gratis y sigue adelante. Si no funciona trabajar, no hay nada de malo en intentarlo. Si funciona en una estación de servicio, es una luz verde para realizar transacciones más importantes ", dice Kevin Lee.

No hay forma de saber qué estaba tratando de comprar la persona que usa mis datos, pero es probable que si la transacción se hubiera realizado, hubieran intentado explotar mi cuenta bancaria por mucho más que £ 108. Afortunadamente, el banco detectó y detuvo casi de inmediato el intento de usar mi tarjeta.

"Tenemos dos segundos para tomar la decisión. Hubiéramos decidido en los primeros dos segundos rechazar eso", dice Paul Davis, director de fraude minorista del Lloyds Bank del Reino Unido.

Lloyds Banking Group tiene 12 sistemas diferentes para analizar transacciones en busca de pagos inusuales, y trabaja con compañías externas y Visa para examinar la gran cantidad de pagos que se realizan todos los días. Estos sistemas deben encontrar un equilibrio entre marcar una actividad potencialmente sospechosa, sin obstaculizar las transacciones regulares.

"El motor de fraude analizará cosas como a quién está tratando de pagar, cuánto le está pagando, si alguna vez ha realizado un pago como ese", explica Davis, señalando cómo la ubicación inesperada de mi pago fue Intenté usar mi tarjeta probablemente jugó un papel en identificarla como potencialmente sospechosa.

"No sé cuántos de nuestros clientes realizan transacciones en Surinam, probablemente no muchos, por lo que es más probable que marque una alerta", dice.

La ubicación, combinada con el comerciante, el historial de otras transacciones allí, y si son fraudulentas o no, y la cantidad que se paga, ayudan al banco a tomar una decisión. Y en este caso, decidió correctamente que la transacción era fraudulenta, pero estas decisiones deben tomarse rápidamente y sin bloquear los intentos genuinos de compra.

"Cuantos más datos tengamos, mejor será este sistema y es más probable que detengamos más fraudes e interrumpamos menos casos genuinos", dice Davis.

<a href = "https://tr1.cbsistatic.com/hub/i/r/2020/09/16/b2855529-c0ef-4982-9e6a-2c831d946e07/resize/370x/68af4019fe02e81bde2a29e01e8908a8/istock-868865280j "target =" _ blank "componente de datos =" modalEnlargeImage "título de datos ="

Para los ciberdelincuentes, el lugar perfecto para probar las tarjetas son los pequeños minoristas, ya que a menudo no cuentan con una seguridad sofisticada.

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">868865280-creditcard5.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/09/16/b2855529-c0ef-4982-9e6a-2c831d946e07/resize/370x/68af4019fe02e81bde2a29e01/e8908 -868865280-creditcard5.jpg

Para los ciberdelincuentes, el lugar perfecto para probar las tarjetas son los pequeños minoristas, ya que a menudo no cuentan con una seguridad sofisticada.

Imagen: Getty Images / iStockphoto

En algunos casos, es más fácil detectar que se están produciendo intentos de fraude, por ejemplo, si los delincuentes realizan muchas solicitudes a la vez utilizando números de tarjeta secuenciales, lo que indica que están trabajando en una lista. En ese caso, los intentos de transacciones para números de tarjetas que aún no se han probado se pueden bloquear de forma preventiva.

"Si hay un comerciante que nunca antes habíamos visto y de repente recibimos 10,000 pagos con números casi secuenciales, o con un patrón, se destacan como sospechosos. Bloqueamos esos pagos antes de que lleguen al motor de detección de fraudes. ", Explica Davis.

En el pasado, los ciberdelincuentes han podido salirse con la suya con este tipo de trucos: es lo que llevó a los atacantes a robar más de £ 2 millones de 9,000 clientes de Tesco Bank en noviembre de 2016 – pero los avances en la detección de fraudes significan que son más fáciles de bloquear.

En algunos casos, es posible que las empresas ni siquiera se den cuenta de que han sido violadas.

"Las infracciones no siempre se informan. En nuestra experiencia, la cantidad de comerciantes que potencialmente han tenido una infracción pero que aún no la han notado es mucho mayor", dice Davis. "Los datos de las tarjetas de muchas personas se intercambian en la web y, por lo tanto, para mantener la seguridad de los sistemas, dependemos de los sistemas que manejamos en los bancos".

El fraude con tarjetas de crédito está lejos de ser inusual

Pero no es solo robando directamente información bancaria que los ciberdelincuentes pueden obtener lo que necesitan para abusar de los datos personales para cometer fraude, nombres, cuentas de redes sociales, direcciones, cumpleaños y todo tipo de información que está potencialmente disponible y se puede utilizar para crear perfiles falsos o diseñar socialmente a las víctimas para que sean víctimas de delitos cibernéticos. Incluso les ha sucedido a políticos de alto perfil.

"A menudo, puede recopilar lo suficiente de las redes sociales para iniciar sesión en sus cuentas o responder preguntas de seguridad", dice Charity Wright, asesora de inteligencia de amenazas cibernéticas en Intsights.

La información de las cuentas robadas se puede poner a la venta en foros clandestinos y, si la víctima ha reutilizado su contraseña de correo electrónico en otras cuentas importantes, podría proporcionar fácilmente un medio para que los atacantes obtengan mucha más información, potencialmente incluso cuentas bancarias en línea.

El papel de Wright implica buscar en la web abierta y clandestina información sobre directores ejecutivos, ejecutivos y otras personas de alto perfil para ver qué información hay, y ayudar de manera crucial a evitar que los ciberdelincuentes la usen y abusen. También miró qué información sobre mí había y quizás, sorprendentemente, dado mi trabajo, no hay mucho que encontrar en función de mi nombre.

"Su huella digital se limita a las redes sociales y profesionales por lo que puedo decir, lo cual es excelente dado su perfil público en los medios", dijo.

VER: Gestión de la identidad 101: cómo funciona la identidad digital en 2020 (ZDNet)

No obstante, a través del skimming, el malware PoS u otra cosa, los ciberdelincuentes pudieron hacerse con mis datos bancarios, a pesar de cómo escribo sobre ciberseguridad todos los días y sé cómo tomar precauciones para ayudarme a protegerme.

Sin embargo, ciertamente no soy la única persona que conozco a quien le robaron su información bancaria u otros datos personales a lo largo de los años y no seré la última; Mucha gente ha sido víctima de un fraude similar e incluso muchos de los investigadores de seguridad con los que hablé al intentar averiguar qué sucedió con los datos de mi tarjeta se han enfrentado a los ciberdelincuentes en un momento u otro.

"No creo que haya tanto estigma de ser descubierto por el fraude de tarjetas de crédito, no creo que tanta gente lo sienta ahora. Es solo una de estas cosas que sucede y muchas veces es completamente fuera de sus manos como lo está encontrando ahora, no tiene idea de dónde o cómo sucede ", dice Chris Boyd, analista líder de inteligencia de malware en Malwarebytes.

"Y cuando el malware PoS puede acechar en las redes durante un año o más, ¿cómo lo va a saber?"

Tuve la suerte de que se detectara un intento de usar mi cuenta bancaria; muchos no han tenido tanta suerte, y los delincuentes han utilizado los datos de las tarjetas para realizar compras muy importantes. Boyd fue víctima de uno de estos planes.

"La versión corta es que me contactaron y me dijeron que había fraude en mi tarjeta", explica. "Por lo general, se oye hablar de pequeñas cantidades reclamadas, la gente obtendrá los detalles de la tarjeta y tomará un poco aquí y allá, ¡pero esto fue alrededor de £ 14,000!"

Al igual que en mi caso, no fue posible precisar cómo exactamente se robaron los detalles de la tarjeta, pero en este caso, la escala de la compra fue inusual.

"De alguna manera, alguien había obtenido los datos de mi tarjeta de crédito y había acudido a un proveedor especializado en vinos, una organización que vende grandes cantidades de vino a las tiendas, y había hecho un pedido desconcertante de 14.000 libras esterlinas de vino", dice Boyd.

"The Great Wine Heist", como él lo describe, solo demuestra que incluso aquellos que tienen un conocimiento profundo de la seguridad pueden ser víctimas de delitos cibernéticos y, en la mayoría de los casos, es poco probable que descubran cómo sucedió.

"Te das cuenta de que solo hay una pequeña cantidad de lugares en los que compras regularmente y una cantidad aún menor de valores atípicos, por lo que es fácil determinar tus movimientos diarios y lo que gastas", explica Boyd.

"Pero aun así te encuentras con una pared de ladrillos porque nada de eso es útil para descubrir qué pasó con tu información", agrega.

Algunas personas aparentemente no han sido víctimas de un fraude de forma activa, pero todavía se siente como si fuera solo cuestión de tiempo antes de que suceda algo.

"Para mí, como estadounidense, tengo un número de seguro social y no tengo ninguna duda de que mi número de seguro social está en algún lugar de la web oscura, es solo una cuestión de suerte que no me hayan robado mi identidad todavía. Eso es En el punto en el que estamos, es muy fácil perder el control de sus datos ", dice Liv Rowley.

Tome precauciones para mantener los datos seguros y protegidos

Puede parecer que el robo de los datos de su tarjeta es inevitable debido a la gran cantidad de organizaciones que son víctimas de campañas de piratería y malware. No obstante, es posible tomar precauciones contra el fraude con tarjetas de crédito.

"No pierda de vista su tarjeta. Mantenga el control de su tarjeta porque si la abandona, no sabe si será revisada o tendrá los detalles por escrito", dice Paul Davis.

Si bien es imposible saber si alguna organización está a punto de convertirse en víctima de una violación de datos, en general, se recomienda que las personas compren a proveedores confiables, por lo que, en el peor de los casos, incluso si se filtran detalles, surge información sobre la filtración. finalmente. Este podría no ser el caso si las personas compran en tiendas en línea u otras tiendas que se han creado con la intención de robar datos personales.

Sin embargo, el individuo solo puede hacer mucho para mantenerse seguro en línea, cuando en última instancia corresponde a las organizaciones que manejan los datos personales evitar que se pierdan.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/09/16/91a576b3-4e08-402f-b396-e0e4a5fd2f2a/resize/370x/1ffa34bda62894226c44e4364e707reditcardb/45-ctock-1317 "target =" _ blank "componente de datos =" modalEnlargeImage "título de datos ="

Las organizaciones deben hacer más para garantizar que los datos personales no se pierdan.

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">istock-131704545-creditcard7.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/09/16/91a576b3-4e08-402f-b396-e0e4a5fd2f2a/resize/370x/1ffa34bda62894226ec707e4af -131704545-creditcard7.jpg

Las organizaciones deben hacer más para garantizar que los datos personales no se pierdan.

Imagen: Getty Images / iStockphoto

Legislación como Reglamento general de protección de datos (GDPR) proporciona un incentivo adicional para que las organizaciones mantengan seguros los datos personales de los clientes y consumidores, porque si la empresa es víctima de una infracción y se considera que ha gestionado la seguridad de forma irresponsable, podrían enfrentarse a una enorme sanción financiera.

British Airways, por ejemplo, fue emitido con una multa de £ 183 millones después de que los datos personales, incluidos los datos bancarios, de más de 500.000 clientes fueran robados, y se culpó a los "malos arreglos de seguridad".

Pero incluso si su información personal es robada en un gran lote junto con cientos de miles, tal vez incluso millones de otros, y no es su culpa, es difícil no sentir que su cuenta bancaria está siendo utilizada o su contraseña está siendo utilizada. un ataque personal.

"La mayoría de las veces, no es personal, lo mismo ocurre con cosas como la apropiación de cuentas y el relleno de credenciales: eres una entre un millón de personas en una lista y ese es el criterio de por qué sucedió, eso es literalmente", dice Troy Hunt. .

Y de hecho parece como si parte de mi información estuviera a la venta, con varias tarjetas que coinciden al menos parcialmente con mi número de tarjeta anunciado en un foro clandestino por el precio de $ 25, según un investigador al que pedí investigar.

No se incluyó ninguna información sobre mi dirección, lo que parece sugerir que es más probable que mis datos hayan sido robados a través del uso de un skimmer o malware PoS, en lugar de un minorista en línea que también necesitaría mi dirección para enviar un artículo.

Eso es todo una conjetura educada de mi parte. Es poco probable que alguna vez descubra cómo se robaron exactamente los datos de mi tarjeta, cómo terminaron en Sudamérica y quién estaba intentando usarlos. Sin embargo, tuve la suerte de que el banco se las arregló para detectar actividad sospechosa y bloqueó cualquier cosa para que no sucediera; muchos otros no tienen tanta suerte.

Pero mientras haya información bancaria y otros datos personales disponibles para que los ciberdelincuentes sigan capturando, intercambiando y explotando, seguirá sucediendo. Para las víctimas, si bien puede ser frustrante, incluso molesto, tal vez el saber que no han sido atacados individualmente podría brindarles algo de consuelo, incluso si nunca se dan cuenta de cómo sucedió.

Este artículo se publicó originalmente en el sitio hermano ZDNet.

Crédito por la imagen principal: Getty Images / iStockphoto



Enlace a la noticia original