12 de diciembre 2022 - 10:54

Fugas de datos y phishing: el peligro de los ataques dirigidos

Hoy, la actual Ley Nº 25.326 de Protección de Datos Personales que data del año 2000, no prevé ninguna obligación respecto a reportar a las personas perjudicadas si hubo una incidencia y su información ha quedado expuesta. ¿Qué se puede hacer?

phishing.webp

Nos evoca cierto sentimiento de nostalgia e incluso tal vez recordemos con una pequeña sonrisa a aquel “querido” príncipe nigeriano que allá por entre los años 2000 y 2010 había caído en una terrible desgracia y apelaba a nuestra buena voluntad recurriendo a la novedosa Internet y vía email nos pedía hacerle una transferencia bancaria que luego nos devolvería con creces como muestra de su agradecimiento. ¡Un príncipe muy tecnológico! Tal vez los más ingenuos de ese entonces ya no lo recuerden con una sonrisa y todavía esperan esa recompensa que nunca llegó (ni llegará, cabe por las dudas aclarar). El resto sabemos que esa fue de las primeras estafas por Internet, hoy ampliamente conocidas como “phishing”.

Tan grande fue la repercusión que tuvo el príncipe que hoy se denominan “nigerian phishing” a una infinidad de variantes que utilizando el correo electrónico piden una pequeña ayuda de nuestra parte para solventar algún gasto y luego prometen recompensarnos: viudas que buscan cobrar una herencia, dictadores venidos a menos y un largo sinfín de etcéteras. Posteriormente, ya más entrados en el siglo XXI y de la mano de un fenómeno que también hoy nos resulta muy familiar como lo son las “fugas de datos”, las estafas se volvieron más sofisticadas y dirigidas. ¿Cómo?

Estado y empresas privadas que a diestra y siniestra recolectan, almacenan y tratan nuestros datos personales son víctimas de ciberataques (y a veces no tan víctimas. El recomendable documental “Nada es privado” ahonda sobre esta otra opción). Esa información es extraída de las bases de datos y luego comercializada en los extremos más recónditos de la red: nombre y apellido, mail, dirección postal, tarjetas de crédito, banco, prepaga, hábitos de consumo, etc. A partir de la obtención de esos datos, los ciberdelincuentes saben que una cuenta de email, perteneciente a una persona con un nombre y apellido ya conocidos, utiliza un determinado banco, entre otros datos.

Es por ello que ya no será un príncipe nigeriano enviando un email redactado en un dudoso inglés a alguien en Argentina, si no que ahora pueden apuntar con mucha mayor exactitud: podrían por ejemplo hacerse pasar por nuestro propio banco, escribiéndonos un mail dirigido específicamente a nosotros, incluso detallando CUIT o CUIL, dirección y ocupación, diciéndonos que nuestra tarjeta de crédito finalizada en XXXX será bloqueada de no realizar determinada acción que seguramente implicará darles el acceso a nuestro dinero. Podrá observar el lector que cuanto mayor es la información que tienen los ciberdelincuentes sobre nosotros, más certero será el intento de phishing que suframos y por lo tanto existirán mayores posibilidades de ser estafados.

Alerta phishing: ¿qué tenemos que tener en cuenta?

Hoy, la actual Ley Nº 25.326 de Protección de Datos Personales que data del año 2000, no prevé ninguna obligación respecto a reportar a las personas perjudicadas si hubo una incidencia y su información ha quedado expuesta. Eso provoca el desconocimiento total de que nuestros datos fueron filtrados y por lo tanto la imposibilidad de tomar medidas para protegernos y estar alerta frente a cualquier amenaza, pero no todo está perdido, ya que el proyecto de ley que actualmente se debate y por el que hace algunas semanas se convocó a una consulta pública a la ciudadanía, si prevé la inclusión de la obligación de notificar una fuga de datos, entre otras positivas innovaciones.

Por ello es imperativo poder seguir formando profesionales que no solo tengan conocimientos en ciberdelincuencia y seguridad de la información para poder proteger esos datos, sino también la capacidad de poder darle un correcto asesoramiento a los titulares en caso de que se produzca una incidencia de seguridad, ya que inevitablemente seguirán sucediendo, tal como dijo el informático Eugene Spafford: “El único sistema informático seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Y, aun así, tengo mis dudas.”

Docente de la carrera de Abogacía en UADE.

Dejá tu comentario

Te puede interesar