Hace un par de semanas, recibí un mensaje desconcertante de mi banco. Mi número de Seguro Social había sido comprometido en una supuesta filtración de datos. Me aferré a la palabra «supuesta» mientras intentaba averiguar si era real. Ahora lo sé: es real.
En los foros de hackers circulan hasta 272 millones de números de la Seguridad Social, después de que alguien los robara de una empresa de verificación de antecedentes con sede en Florida llamada National Public Data, propiedad de un actor y ayudante del sheriff retirado llamado Salvatore “Sal” Verini. Esta filtración de datos no es tan catastrófica como algunos titulares podrían hacerla parecer. Una estación de noticias publicó un titular hiperbólico que afirmaba: “Los hackers pueden haber robado los números de la Seguridad Social de todos los estadounidenses”. No lo han hecho.
Sin embargo, ahora es un buen momento para congelar sus archivos de crédito en las principales agencias (Equifax, Experian y TransUnion) si aún no lo ha hecho. Eso lo protegerá de los estafadores que suelen aparecer tras grandes filtraciones como esta. Si más personas congelan sus archivos, habrá menos víctimas de delitos cibernéticos. Puede que sea el único beneficio que surja de esta filtración masiva de números de la Seguridad Social.
Congelar su crédito simplemente significa impedir que los posibles acreedores accedan a su informe crediticio, lo que dificulta que los malos actores abran nuevas cuentas, como una nueva tarjeta de crédito o un préstamo, utilizando su información personal. También evita que las agencias de crédito vendan los datos de su informe crediticio, lo que lamentablemente hacen. Si desea otorgar acceso a su informe crediticio, simplemente puede solicitarles a las agencias de crédito que descongelen sus archivos. Nada de esto afectará su calificación crediticia.
Incluso si no cree que la filtración de datos públicos nacionales lo haya afectado, es casi seguro que sus datos se han visto involucrados en algún tipo de filtración. Por eso debería congelar sus archivos de crédito: es una forma gratuita y sencilla de protegerse del robo de identidad y de mantener a los piratas informáticos y estafadores fuera de su cuenta bancaria. Y aunque esta última filtración no es una preocupación urgente, los grandes problemas de seguridad como este suelen atraer a los estafadores que se aprovechan de los ansiosos. Además, es temporada de elecciones, que ya está llena de spam fraudulento. Entonces, ¿por qué no tomar una o dos medidas adicionales para bloquear sus cuentas?
Eso fue lo que hice hace unos días y no me llevó más de 10 minutos. Pero para entender por qué debería congelar sus archivos crediticios (y también los de sus hijos, incluso si son menores de 18 años), es útil entender qué significan las grandes filtraciones de datos para usted ahora y en el futuro inevitable, cuando se produzca una aún mayor.
El hackeo del número de Seguridad Social, muy grande pero no tan aterrador
En abril, un cibercriminal conocido como USDoD intentó vender cuatro terabytes de datos en un foro de hackers. Los datos procedían de National Public Data, un sitio web de nombre anodino que comprendía 2.900 millones de filas de registros, incluidos números de la Seguridad Social, direcciones y números de teléfono. En los meses siguientes se filtraron copias parciales de los datos antes de que otro hacker publicara una versión casi completa el 6 de agosto para que cualquiera pudiera descargarla de forma gratuita. Unos días después, National Public Data confirmó que había sufrido una filtración de datos. Fue entonces cuando los expertos en seguridad empezaron a preocuparse.
El relato paso a paso del foro de hackers es importante porque ilustra lo despreocupados que pueden ser los ladrones de datos. Una vez que su información se ve comprometida en una filtración, puede esperar que termine en las manos equivocadas.
Cómo las violaciones de datos empeoran las estafas
Es un año de elecciones presidenciales, y la nueva tanda de datos robados gratuitos que ha proporcionado la filtración de datos públicos nacionales intensificará los tipos típicos de estafas que se ven durante una elección. La Asociación Nacional de Secretarios de Estado tiene una guía útil sobre los tres tipos más comunes de estafas en la temporada electoral: estafas de donaciones políticas, encuestas o sondeos falsos y estafas de registro de votantes. También debe tener mucho cuidado con cualquier mensaje que reciba en el que le pidan donar a una campaña o enviar su información privada.
«Si alguien está interesado en contribuir a una campaña… debería buscar el sitio web oficial de la campaña y donar a través de él en lugar de hacer clic en el enlace en su bandeja de entrada de SMS», dijo Bill Budington, tecnólogo senior de la Electronic Frontier Foundation, quien aclaró que no estaba ofreciendo asesoramiento electoral.
Uno de los primeros expertos en seguridad que analizó los datos fue Troy Hunt, fundador de HaveIBeenPwned.com, un sitio web que permite comprobar si se ha visto implicado en una filtración de datos. La magnitud de la filtración significa que fue «muy grave», dijo Hunt en una entrevista. Los investigadores de Atlas Data Privacy Corp. informaron que la base de datos contenía 272 millones de números de Seguridad Social únicos, que no son los 2.900 millones que se pueden ver en algunos titulares. Muchos de los registros parecen pertenecer a personas fallecidas. Atlas también creó un sitio web donde se puede comprobar si se ha visto afectado por la filtración de datos públicos nacionales.
En realidad, Hunt encontró sus propios datos en la filtración, aunque la mayor parte de la información estaba desactualizada o era incorrecta.
«No me quitaría el sueño porque no creo que esto sea particularmente diferente a lo que viene sucediendo desde hace muchos años», me dijo Hunt.
TJ Sayers, director de inteligencia y respuesta a incidentes del Centro de Seguridad de Internet, tuvo una respuesta similar cuando le pregunté qué tan preocupados deberíamos estar por este ataque.
«No creo que esto sea necesariamente revolucionario ni revolucionario», dijo Sayers. «Es probable que mucha de la información que hay aquí ya esté disponible de alguna forma o estilo debido a otras infracciones que tuvieron lugar en el pasado».
De hecho, las violaciones de datos son sumamente comunes. Existe un ciclo familiar de violaciones que ocurren, las empresas las admiten, los abogados presentan demandas colectivas y los consumidores individuales reciben cheques de $5 por correo. Eso es lo que suele pasar: no hay arrestos, no hay penas de prisión, no hay consecuencias para los piratas informáticos que robaron los datos o las empresas que no los protegieron. Existe poca supervisión regulatoria de la industria de los intermediarios de datos, donde las empresas grandes y pequeñas extraen información de los consumidores y la venden a otras empresas, a menudo sin proteger adecuadamente esos datos; de ahí la frecuencia de las violaciones. Sin embargo, a los intermediarios de datos no necesariamente les importa, ya que los consumidores son el producto en esta industria, no el cliente.
La cantidad de datos de consumidores robados que están disponibles en línea también está aumentando. En su cobertura de esta última filtración, Krebs, el periodista de seguridad, compara a los corredores de datos con los petroleros: las filtraciones son derrames de petróleo con efectos negativos a largo plazo. Krebs dice: “Los costos y el esfuerzo de limpieza de los derrames de datos, incluso de grandes colecciones de documentos técnicamente ‘públicos’ como el corpus (National Public Data), pueden ser enormes, y la mayoría de los costos asociados con eso recaen sobre los consumidores, directa o indirectamente”.
De modo que, incluso si esta filtración no constituye una amenaza inmediata, la suma total de todas las filtraciones de datos es desastrosa y no hay mucho que pueda proteger a los consumidores como usted y yo.
Cómo congelar sus archivos de crédito
Eso nos lleva de nuevo a la congelación de los archivos de crédito. Incluso en ausencia de una importante filtración de datos, congelar su crédito es una forma gratuita y sencilla de protegerse del robo de identidad. También es sorprendentemente fácil de hacer e igualmente fácil de deshacer, en caso de que desee abrir una nueva cuenta o solicitar un préstamo.
Las tres principales agencias de crédito son Equifax, Experian y TransUnion. Tal vez recuerdes a Equifax por su propia filtración masiva de datos, que comprometió los registros privados de 148 millones de estadounidenses en 2017. Ese hackeo, que fue llevado a cabo por el ejército chino, según el FBI, dio lugar a peticiones de leyes más estrictas contra la filtración de datos, leyes que todavía no se han aprobado. Pero gracias a una ley de 2018 que flexibilizó algunas regulaciones bancarias a raíz de la Gran Recesión, las agencias de crédito ya no pueden cobrar tarifas por congelar y descongelar tus archivos de crédito. También puedes solicitar un informe de crédito gratuito de cada una de las agencias una vez a la semana, en lugar de una vez al año. Así que las cosas han mejorado en cierto modo.
Puede congelar sus archivos abriendo una cuenta en cada uno de los sitios web de las agencias de crédito (aquí encontrará enlaces directos a las páginas para congelar sus cuentas de Equifax, Experian y TransUnion). Una vez que haya creado su cuenta, solo necesitará un par de clics para congelar sus archivos. También puede solicitar una congelación por teléfono o por correo. Lea más sobre cómo funciona esto aquí. También puede considerar congelar sus archivos con agencias secundarias, de las cuales hay muchas. Puede optar por no participar en LexisNexis, una de las más grandes, aquí. Otras agencias secundarias incluyen ChexSystems, Innovis, MicroBilt y NCTUE; puede leer sobre ellas y ver cómo congelar esos archivos también.
Por cierto, no pagues nada mientras haces esto. Las agencias de crédito están obligadas a permitirte congelar tus archivos de forma gratuita, pero podrían intentar venderte un servicio pago con el confuso nombre de «bloqueo de crédito». Los servicios de bloqueo de crédito, que cuestan hasta 30 dólares al mes, también restringen el acceso a tu informe de crédito y prometen permitirte desbloquearlo de inmediato. Las congelaciones de crédito pueden tardar uno o tres días hábiles en desbloquearse, pero vienen con más protecciones legales.
Si tienes hijos, también puedes congelar sus expedientes crediticios, incluso si aún no tienen uno. Aunque congelar el crédito de un niño no es tan rápido como hacer dos clics en un sitio web, es bastante sencillo y podría ahorrarle muchos problemas a tu familia.
“El robo de identidad infantil está superando al robo de identidad en adultos”, dijo Sayers, del Centro para la Seguridad en Internet. “Muchos padres e hijos no se dan cuenta de que les han robado la identidad hasta que cumplen 18 años y necesitan obtener un préstamo universitario o su primera tarjeta de crédito”.
Todo esto da miedo, pero la última tanda de números de Seguridad Social robados que ha aparecido en las noticias no debería asustarte y hacer que no hagas nada. Congelar tus archivos de crédito no solo te proporcionará tranquilidad, sino también protección real. Ahora también es un buen momento para empezar a usar un administrador de contraseñas y autenticación multifactor si aún no lo haces. Después de todo, es muy probable que tus nombres de usuario y contraseñas ya estén circulando por los foros de hackers, esperando a que un ladrón de identidades te ataque.