La obtención de datos personales por medio de invasiones a sistemas informáticos y que luego estos sean de libre acceso puede significar varios riesgos a las personas, como ser objeto de ataques, fraudes u otros delitos cibernéticos, exponen especialistas.
La filtración de bases de datos y divulgación de las mismas se ha vuelto frecuente por parte de hacktivistas, como una divulgación de la información de 5.1 millones de salvadoreños por medio de una deep web a mediados de abril de este año, así como la filtración del código fuente del software de los cajeros de Chivo Wallet, aunque fue negado posteriormente por la billetera digital del gobierno.
Otras bases de datos divulgadas recientemente y de las cuales el gobierno no ha reaccionado, son la filtración de las contrataciones de la Asamblea Legislativa, que incluye hasta maquillistas para algunos diputados de Nuevas Ideas; la base de datos de más de 974,000 cotizantes del Instituto Salvadoreño del Seguro Social (ISSS) y más reciente una supuesta lista de usuarios de redes sociales que serían bloqueados de las cuentas instituciones del gobierno.
LEA: Grupo de hackers filtra base de datos de 974,428 cotizantes del ISSS
Las cuento a las bases de datos con información personal, estas contienen no solo datos de funcionarios públicos, sino también del resto de ciudadanos que no ejercen cargos públicos, lo que también les deja en vulnerabilidad.
Riesgos de seguridad
Pero, ¿cuáles son los riesgos de seguridad que la información personal de cientos de miles de personas esté accesible de esa forma?
Fabiana Ramírez, especialista en Seguridad Informática de ESET Latinoamérica, compañía dedicada al desarrollo, investigación y comercialización de soluciones de protección antivirus y seguridad informática, expone algunos de ellos.
Indica que los riesgos son diversos y depende de qué datos estén expuestos. Pero en líneas generales se puede mencionar la suplantaciones de identidad. "Los cibercriminales podrían usar la información filtrada para hacerse pasar por las personas afectadas y cometer delitos en su nombre o aprovecharlo para estafas", expuso a consultas de El Diario de Hoy.
También los números de documentos de identidad podrían permitir a los atacantes realizar fraudes documentales o incluso financieros.
"Los ciberdelincuentes podrían contactar a las víctimas y amenazarlas con publicar su información sensible si no pagan un rescate, lo que implica extorsión en varios niveles", añadió.
Pero no solo eso, al tener acceso a datos personales, los atacantes podrían personalizar ataques de phishing para engañar más fácilmente a sus víctimas. Otra cuestión podría ser la afectación de la imagen de las personas y la reputación de las empresas, entre otros delitos ¿cibernéticos que podrían cometerse.
LE PUEDE INTERESAR: Hacktivistas revelan vulnerabilidad digital del gobierno
También Carlos Palomo, de Transparencia, Contraloría Social y Datos Abiertos (TRACODA), coincide en algunos de los riesgos para los ciudadanos por la circulación de su información personal.
"Parte de los riesgos para un ciudadano común es la posibilidad de suplantaciones de identidad, acceso y sustracción no autorizada de dinero de cuentas bancarias o productos financieros, así como intentos de acceder a datos privados como fotografías u otros para intentan chantajear", comentó.
Agregó que en otros casos, como en el de policías, puede haber intentos de represalias por parte de grupos criminales. Por lo que califica como "muy grave" la filtración de datos. Considera que estos casos ocurren porque se han tomado medidas deficientes de seguridad.
"Malos desarrollos de tecnología por no haber adoptado estándares de seguridad y calidad adecuados han incidido. Es importante que se responda a la ciudadanía, que los responsables por acción u omisión respondan legal y políticamente", afirmó.
También considera importante hacer el llamado al Gobierno para que valore pedir ayuda internacional con este tema, por ejemplo de los Estados Unidos, "quienes tienen más experiencia en protección de datos y persecución del ciberdelito".
Eduardo Escobar, director de Acción Ciudadana, enfatiza que la sustracción de datos es un acto ilegal y al analizar el tipo de información que se ha filtrado se mezcla dos tipos.
"Una información pública cuando hablamos, por ejemplo, de salarios de funcionarios; pero también tenemos información confidencial que se ha filtrado, que tiene que ver con personas que no son funcionarios o de interés público, donde se conoce su número de Dui, sus teléfonos, sus correos, cuánto ganan, la dirección de su vivienda, etcétera; esa es la información confidencial que se ha revelado", dijo Escobar
Considera que se trata de una violación a la intimidad de las personas, porque se ha revelado toda esa información; "pero también tenemos liberada información pública que el mismo poder político se ha encargado de negar" sobre datos de funcionarios.
Medidas de seguridad
Ante esta situación, se consultó ¿qué medidas de seguridad deberían de contar las bases de datos que resguardan información sensible, direcciones particulares y números de documento de identidad de las personas?
Ramírez señaló que es recomendable cifrar toda la información sensible, tanto la que está almacenada en los sistemas como aquella que estará en tránsito. Además de que los usuarios y credenciales deben contar con autenticaciones multifactor, con el objetivo de agregar una capa de seguridad extra a los accesos.
"Algo muy eficiente es limitar el acceso a la información sensible en función de su necesidad de uso, es decir, que cada tipo de información esté accesible solo para aquellos usuarios que necesiten tratarla y dejando sin acceso a otros usuarios que no la necesiten", expuso.
Otro aspecto es que se deben actualizar los sistemas para protegerlos de vulnerabilidades conocidas y, contar con soluciones de seguridad confiables capaces de detectar y detener amenazas.
La experta enfatiza que es importante que todo el personal esté educado y capacitado en buenas prácticas de ciberseguridad.
Sin conocer detalles del acuerdo con Google
A inicios de septiembre de 2023, la Asamblea Legislativa aprobó "Ley general para la modernización digital del Estado", que regula la ejecución del acuerdo entre el gobierno con la empresa Google LLC y que establece que el Estado salvadoreño gastará $500 millones para compra de servicios a la compañía.
El contenido de dicho acuerdo no ha sido divulgado por el gobierno, sino al contrario, en octubre de 2023 investigaciones periodísticas revelaron que el acuerdo fue declarado bajo reserva por siete años por el Ministerio de Relaciones Exteriores.
El 16 de abril de 2024, con motivo de la inauguración de las oficinas en San Salvador, la empresa divulgó algunas acciones como parte del acuerdo en las áreas de gobierno digital, salud y educación. La publicación no menciona aspectos de ciberseguridad.
"Los próximos pasos serán seguir apoyando al gobierno en el desarrollo de plataformas que permitan la interoperabilidad entre instituciones y mejorar los servicios al ciudadano a través de la digitalización", dice en el apartado de gobierno digital.
Recomendaciones para evitar ser víctima de robo de información:
- Usar contraseñas robustas y doble factor de autenticación para prevenirse de accesos indebidos.
- No hacer clic en enlaces sospechosos en correos electrónicos o mensajes no solicitados, dado que podrían ser casos de phishing.
- Cifrar información personal, tanto en reposo como en tránsito, para que en caso que los cibercriminales tengan acceso a esta, no puedan leerlas.
- Mantener siempre sistemas y software actualizados para protegerse contra vulnerabilidades conocidas. Usar también soluciones de seguridad como antimalware y antiphishing que puedan detectar amenazas.
- Ser precavido a la hora de conectarse a redes públicas porque podrían ser interceptadas.