[HACK] Empresas de EEUU pierden miles de datos
merce
merce at grn.es
Thu Jun 23 11:36:58 CEST 2005
18/05/2005 12:27
EMPRESAS ESTADOUNIDENSES PIERDEN MILES DE DATOS DE CLIENTES
Y EMPLEADOS
Los robos y pérdidas de información de personas son
frecuentes también en España pero no se denuncian
Mercè Molist
Desde principios de año, importantes empresas de Estados
Unidos han perdido o les han robado bases de datos con
información de millones de personas. Lo que a primera vista
parece una oleada es, según los expertos, algo normal. La
diferencia está en que nadie lo denunciaba, hasta la
aparición de una ley en California que obliga a las empresas
que sufran fugas a darlo a conocer públicamente.
La ley californiana "Security Breach Information Act" ha
destapado la caja de los truenos de una situación hasta
ahora subterránea: los frecuentes robos y pérdidas de bases
de datos en todo tipo de empresas e instituciones de Estados
Unidos. La ley, que entró en vigor a mediados del año
pasado, obliga a las empresas que realicen negocios en
California a avisar a los usuarios en caso de que la
información que almacenan sobre ellos sea comprometida.
A raíz de su entrada en vigor, empezó una ola de
notificaciones de robos y pérdidas de datos personales que
ha sacudido la opinión pública y ha provocado que el
congreso norteamericano estudie poner en marcha leyes
parecidas para todo el país. El último caso, la semana
pasada, cuando alguién robó datos de los titulares de 40
millones de tarjetas de crédito de entidades financieras
como MasterCard, Visa o American Express.
Los casos destapados desde principios de año muestran que la
mayoría de empresas ven comprometidas sus bases de datos
informáticas de tres formas: por la pérdida de discos de
"back-up", que suele gestionar una tercera empresa, por la
entrada de intrusos o los propios empleados en los sistemas
informáticos y por el robo de ordenadores.
La desaparición de "back-ups" ha afectado a pesos pesados
como Citibank, que a principios de junio perdía los datos de
3,9 millones de clientes; el Bank of America, que en febrero
perdía información financiera de 1,2 millones de personas;
el programa gubernamental SmartPay, con más de un millón de
clientes afectados; la firma Ameritrade, que perdió en abril
los datos de 200.000 clientes, y Time Warner, cuyas cintas
de "back-up" con datos de 600.000 empleados se volatilizaban
en mayo, durante un transporte.
En cuanto a la entrada en sistemas informáticos, el Bank of
America, junto a otros grandes bancos, es protagonista de
uno de los mayores robos de datos bancarios en EEUU. A
finales de mayo se supo que empleados de estos bancos
vendieron información de más de 670.000 clientes.
En febrero, diversas personas se hicieron pasar por clientes
de ChoicePoint para entrar en sus sistemas y llevarse
nombres, direcciones, números de Seguridad Social e informes
financieros de 140.000 usuarios. En marzo, se descubría que
habían usado el mismo truco con Seisint, una filial de
LexisNexis, para llevarse datos de 310.000 personas. El
mismo mes, la empresa de calzado DSW notificaba que les
habían robado los números y nombres asociados a un millón y
medio de tarjetas de crédito.
Las universidades son blanco frecuente de los intrusos
informáticos. Sólo en los últimos tres meses, la Universidad
Estatal de California, el Boston College, la Universidad
George Mason y la Universidad Carnegie Mellon han sufrido
robos de información de miles de alumnos y empleados. Un
acceso no autorizado al proveedor de telefonía móvil
T-Mobile comprometía los datos de 400 clientes, entre ellos
estrellas de Hollywood cuyos números de teléfono se hicieron
públicos en Internet.
En cuanto al robo de ordenadores, hace unas semanas
desaparecía un portátil de MCI, con información personal de
16.500 empleados. En abril, robaban dos máquinas del San
José Medical Group, con información médica y financiera de
185.000 pacientes. En marzo, un contratista del gobierno,
Science Applications International Corp, sufría el robo de
diversos ordenadores con detalles sobre empleados actuales y
pasados, entre ellos secretarios de Defensa y directivos de
la CIA.
También en marzo, el robo de un ordenador portátil
de la Universidad de Berkeley comprometía la información
personal de 98.000 personas. La misma universidad había
sufrido, en agosto del año pasado, una entrada en sus
sistemas de donde se llevaron una base de datos con más de
un millón de registros.
La situación en España
Estados Unidos siempre ha destacado por su permisiva
legislación en protección de datos, que empieza a cambiar
para acercarse a la normativa europea, más proteccionista.
Esta laxitud sería la explicación del desbarajuste en sus
bases de datos. Pero, según los expertos consultados por
Ciberp at is, la situación no es mejor en España, sólo que aquí
las empresas no están obligadas a hacer públicas las fugas.
A nivel europeo, el caso más sonado ha sucedido en el Banco
Central de Rusia, donde en cuatro meses les han robado dos
veces las bases de datos, que contienen todas sus
operaciones en los últimos dos años. Se venden en el mercado
negro por 3.000 rublos (85 euros).
En España, el caso más reciente ha sido el Hospital de
Leganés, que estos días se somete a una auditoria
informática, después de detectarse "accesos atípicos", como
la manipulación y el intento de borrado de algunos registros
de sus bases de datos de pacientes.
Según Daniel Cruz, responsable del Departamento de
Planificación de Seguridad de esCERT/InetSecur, "los robos
de datos con información personal suceden también en España,
donde siempre ha existido un mercado de datos. Mucha veces
no son robos de terceros sinó que las fugas provienen de la
propia organización, por errores voluntarios o
involuntarios". El motivo de estos robos, cada vez más
frecuentes según Cruz, suele ser "obtener datos de los
clientes de la competencia".
Albert Gabás, gerente de Astabis Data Management y miembro
del Chaos Computer Club, explica: "Las bases de datos
españolas no son más seguras que las americanas. Aquí
siempre se ha pagado a "crackers" para obtenerlas: en su día
daban bastantes millones por la base de datos de una
importante operadora de móviles". Gabás recuerda que "casi
toda intrusión en un sistema lleva asociado el acceso a la
base de datos de usuarios y contraseñas. Las webs de sexo
son uno de los principales objetivos, porque tienen
suculentos listados de tarjetas de crédito y poca
seguridad".
Mariano José Benito, Director del Departamento de Seguridad
de SGI Soluciones Globales Internet, explica: "Al no ser
denunciados, no hay estadísticas fiables de estos robos en
España, pero la sensación general es que hay incidentes de
este tipo con cierta frecuencia y que han tenido lugar en
buen número de compañías de todos los sectores, desde
grandes empresas a PYMES". Según Benito, el origen son
"'spammers', la competencia e incluso mafias, muy a menudo
transnacionales. Se conocen casos de intentos de estafa
basados en datos financieros de un fichero robado".
Una ley estricta, pero poco acatada
La Ley Orgánica de Protección de Datos española es
considerada una de las más estrictas del mundo. La Agencia
de Protección de Datos se encarga de su cumplimiento. Jesús
Rubí, adjunto al director de la Agencia, explica: "Hemos
investigado pérdidas de bases de datos durante un
transporte, su aparición en la vía pública, robos por parte
de un ex socio o empleado, en entidades financieras,
hospitales, empresas y administraciones".
Las multas son ejemplares: entre 60.000 y 300.000 euros, por
no tener implantadas las medidas de seguridad de protección
de datos, y entre 300.000 y 600.000 euros, en caso de
pérdida de datos de nivel alto, como la información médica.
Según Rubí, "hay un conocimiento creciente de la normativa y
su aplicación. Las grandes corporaciones, que tienen las
bases de datos más grandes y complejas, ya cuentan con
políticas al respecto".
El problema, dice, son las PYMES y los pequeños y medianos
ayuntamientos. Lo confirma Albert Gabás: "En la mayoría de
PYMES no desconfían de sus empleados ni de los informáticos
externos, muchas veces sin relación contractual ni cláusulas
de confidencialidad, permiten que todos puedan acceder a
todo y no hay ningún control. Pocas cumplen la ley".
Daniel Cruz afirma: "El cumplimiento de la LOPD es escaso.
El porcentaje de organizaciones que tienen inscritos sus
ficheros en la Agencia de Protección de Datos no supera el
10% y la inscripción es la fase más sencilla. En cuanto al
Reglamento de Medidas de Seguridad, su implantación tampoco
es la adecuada porque, en el caso de ficheros de nivel alto,
el proceso es complicado y costoso para las pequeñas
empresas y, en general, las organizaciones descuidan la
gestión de su seguridad".
Mariano José Benito añade: "Los hospitales, compañías de
seguros médicos, sindicatos, partidos políticos,
agrupaciones religiosas, tienen en su poder datos del nivel
más alto, que requieren medidas de protección muy estrictas
y caras. La tentación está ahí. En el sector de la sanidad
no tengo constancia de incumplimiento. En el caso de las
PYMES, suele deberse a desconocimiento".
El problema, según Benito, no es que la normativa sea
complicada sinó que "la complicación está en la propia
organización: en muchos casos no queda claro quién se
encarga de qué, en otros las tareas se interfieren entre
sí". De todos modos, dice, "la tendencia general es
positiva".
Otro caballo de batalla es la cesión de datos entre
empresas, donde en algunos casos se intenta abusar, explica:
"La cesión sucesiva de datos entre organizaciones hacen que
un ciudadano no pueda saber cómo una entidad desconocida
para él tiene sus datos. Además, hay pequeñas empresas que
dan a sus clientes la falsa confianza de cumplir la ley,
cuando sólo lo hacen desde el aspecto legal, pero no de los
controles tecnológicos".
Daniel Cruz critica que la normativa vigente no garantiza la
confidencialidad de las bases de datos: "Es fundamental el
cifrado de toda la información, en cualquiera de las etapas
del ciclo, desde su entrada, pasando por el almacenamiento y
transporte". El reglamento actual sólo exige cifrado en el
transporte de información de nivel alto. Si los datos
robados en Estados Unidos hubiesen estado cifrados, se
habrían evitado muchos problemas.
LO QUE PIDE LA LEY
El Real Decreto 994/99, al que deberá adaptarse el actual
Reglamento de Medidas de Seguridad, especifica las medidas
mínimas que una organización que maneje datos personales
debe tener implantadas:
Correctos sistemas de identificación de usuarios (correcta
gestión de privilegios de usuarios y de las contraseñas de
los mismos)
Cifrado de las informaciones así como de las
comunicaciones
Copias de seguridad correctas y con la periodicidad
adecuada.
Cuidado con las informaciones que las organizaciones
puedan tener en soporte papel.
POR QUÉ LAS EMPRESAS NO DENUNCIAN EL ROBO DE DATOS
El Computer Security Institute realizó el año pasado una
encuesta a 276 compañías de EEUU para saber por qué no
denunciaban a las fuerzas de la ley los robos en sus bases
de datos. Las respuestas pueden extrapolarse al caso
español.
51%. Por la mala publicidad
35%. Por miedo a que la competencia se aproveche del
incidente
20%. Porque un remedio interno parece la mejor opción
18%. Por desconocimento del interés de las fuerzas de la ley
en estos casos
Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this
entire article is permitted in any digital medium, provided
this notice is preserved.
More information about the hacking
mailing list