mujer sosteniendo smartphone

La mayoría de los participantes en un estudio reciente no tenían idea de que sus direcciones de correo electrónico y otra información personal se habían visto comprometidas en un promedio de cinco violaciones de datos cada una.

Han pasado nueve años desde la violación de datos de LinkedIn, ocho años desde que los clientes de Adobe fueron víctimas de ciberataques y cuatro años desde que Equifax fue noticia por la exposición de información privada de millones de personas.

Investigadores de la Escuela de Información de la Universidad de Michigan mostraron datos de 413 personas de hasta tres infracciones que involucraba su propia información personal. Los investigadores encontraron que las personas no estaban al tanto del 74% de las infracciones.

“Esto es preocupante. Si las personas no saben que su información fue expuesta en una infracción, no pueden protegerse adecuadamente contra las implicaciones de una infracción, por ejemplo, un mayor riesgo de robo de identidad ”, dice la candidata a doctorado Yixin Zou.

Como se informó en una documento de sesión, los investigadores también encontraron que la mayoría de los violados culparon a sus propios comportamientos personales por los eventos, usando la misma contraseña en múltiples cuentas; mantener el mismo correo electrónico durante mucho tiempo; y registrarse para cuentas "incompletas", con solo el 14% atribuyendo el problema a factores externos.

gráfico de suscripción interior

“Si bien existe cierta responsabilidad en los consumidores de ten cuidado sobre con quién comparten su información personal, la culpa de las infracciones casi siempre radica en las prácticas de seguridad insuficientes de la empresa afectada, no de las víctimas de la infracción ”, dice Adam Aviv, profesor asociado de informática en la Universidad George Washington.

La He sido promovido La base de datos utilizada en este estudio enumera casi 500 infracciones en línea y 10 millones de cuentas comprometidas durante la última década. Según el Identity Theft Resource Center, el número total de violaciones de datos que afectan a los estadounidenses es aún mayor, y reportó más de 1,108 violaciones en los Estados Unidos solo en 2020.

Investigaciones anteriores preguntaban sobre preocupaciones y reacciones a las filtraciones de datos en general, o se basaban en datos autoinformados para determinar cómo un incidente en particular afectó a las personas. Este estudio utilizó registros públicos en el conjunto de datos Have I Been Pwned de quién se vio afectado por las infracciones. El equipo de investigación recopiló 792 respuestas que incluían 189 infracciones únicas y 66 tipos de datos expuestos diferentes. De las 431 direcciones de correo electrónico de los participantes consultadas, el 73% de los participantes estuvieron expuestos a una o más infracciones, con el mayor número de 20.

De toda la información violada, las direcciones de correo electrónico fueron las más comprometidas, seguidas de contraseñas, nombres de usuario, direcciones IP y fechas de nacimiento.

La mayoría de los participantes expresaron una preocupación moderada y estaban más preocupados por la filtración de direcciones físicas, contraseñas y números de teléfono. En respuesta a sus cuentas comprometidas, informaron que tomaron medidas o tenían la intención de cambiar las contraseñas para el 50% de las infracciones.

“Podría ser que algunos de los servicios violados se consideraran 'no importantes' porque la cuenta violada no contenía información confidencial. Sin embargo, la baja preocupación por una infracción también puede deberse a que las personas no consideran o no son conscientes de cómo la información personal filtrada podría potencialmente ser mal utilizada y perjudicada ”, dice Peter Mayer, investigador postdoctoral en el Instituto de Tecnología de Karlsruhe.

Los riesgos van desde el relleno de credenciales, o el uso de una dirección de correo electrónico y una contraseña filtradas para obtener acceso a otras cuentas de la víctima, hasta el robo de identidad y el fraude.

La mayoría de las infracciones nunca llegaron a ser noticia y, a menudo, implicaron poca o ninguna notificación a las personas afectadas.

“Los requisitos actuales de notificación de filtraciones de datos son insuficientes”, dice Zou. “O las empresas violadas no notifican a las personas o las notificaciones están tan mal diseñadas que las personas pueden recibir una notificación por correo electrónico o una carta pero no la tienen en cuenta. En trabajo anterior, analizamos las cartas de notificación de violación de datos enviadas a los consumidores y descubrimos que a menudo requieren habilidades de lectura avanzadas y riesgos oscuros ".

Al final del estudio, los investigadores mostraron a los participantes la lista completa de infracciones que les afectaban y proporcionaron información para tomar medidas de protección contra posibles riesgos de infracciones de datos.

Cómo evitar violaciones de datos

Cuando sus datos han sido robados: 

  • Compruebe si las cuentas formaron parte de una infracción utilizando servicios gratuitos como https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Lea atentamente las notificaciones de incumplimiento.
  • Sitios web como los de la FTC https://identitytheft.gov/ puede ayudar a crear un plan de recuperación después del robo de identidad.
  • Asegúrese de cambiar la contraseña de la cuenta violada y cualquier otra para la que se utilizó la misma contraseña. Hacer esto una vez debería ser suficiente a menos que haya una nueva brecha.
  • Regístrese para los servicios de monitoreo de identidad que le ofrecen. Aunque no son perfectos, son mejores que nada.
  • Si sufre un daño real por una infracción, es posible que también tenga derecho a recibir asistencia adicional.

Para evitar futuras filtraciones de datos: 

  • Utilice una contraseña única para cada cuenta en línea. Nadie puede recordar docenas de estos, por lo que es mejor usar un administrador de contraseñas para almacenar y crear contraseñas seguras.
  • Utilice la autenticación de dos factores, siempre que sea posible, que requiere un código por teléfono además de un nombre de usuario y contraseña para acceder a una cuenta.
  • Congele los informes de crédito en las tres oficinas principales (Equifax, Experian y TransUnion) para que sea más difícil para los ladrones de identidad causar daños financieros. Ver esta página.
  • Considere utilizar servicios como Inicia sesión con Apple  para mantener la privacidad de una dirección de correo electrónico al crear cuentas nuevas (el proveedor de servicios solo ve una dirección de correo electrónico creada exclusivamente para esa cuenta).

“Los hallazgos de este estudio subrayan aún más las fallas y las deficiencias de las leyes actuales de notificación de violaciones de seguridad y datos”, dice Florian Schaub, profesor asistente de información en la Universidad de Michigan.

"Lo que encontramos una y otra vez en nuestro trabajo es que la legislación y la regulación importantes, que están destinadas a proteger a los consumidores, se vuelven ineficaces en la práctica debido a los deficientes esfuerzos de comunicación de las empresas afectadas, que deben ser más responsables de proteger los datos de los clientes".

Los investigadores señalan el Reglamento general de protección de datos de Europa que legisla fuertes multas para las empresas que no protegen a los consumidores como un medio para resolver el problema. La ley llevó a empresas de todo el mundo a reformar sus programas y salvaguardias de privacidad.

Fuente: Universidad de Michigan

 

Sobre el Autor

Laurel Thomas-Michigan

Este artículo apareció originalmente en Futurity