A partir de ventas de datos de usuarios de Clubhouse y Facebook que se promocionan en la web oscura o profunda, una especie de mercado negro manejado por hackers, tomó estado público la existencia de canales de comercialización alimentados por la oferta de las registraciones personales supuestamente cubiertas por acuerdos de confidencialidad como condición para poder acceder a páginas "gratuitas".
Ocurrió en julio de 2021 cuando se supo que 3,8 mil millones de números de teléfono de usuarios de Clubhouse se estaban ofreciendo a los ciberdelincuentes y anunciantes sin escrúpulos.
La información la aportó una reconocida compañía de privacidad y seguridad digital, Avast, pero fue cuestionada por investigadores de la especialidad, que la atribuyeron a una campaña de marketing de la dark web.
"Independientemente de que los informes más recientes sean precisos o no, datos similares estuvieron disponibles desde abril de 2021, cuando la información de 1,3 millones de usuarios de Clubhouse fue recolectada y publicada en línea, según comentarios de Christopher Budd, director senior de Comunicaciones Globales de Amenazas.
"En ese momento, datos de Facebook y LinkedIn, también recopilados vía scrapping, se publicaron en línea. No es difícil para los agentes maliciosos conseguir los tres grupos de datos y tratar de combinar su información en un solo conjunto y explotarlos", comentó. De acuerdo con el portal Privacy Affairs, los datos personales de más de 1.500 millones de usuarios de Facebook están a la venta en ese foro de 'hackers', lo que podría permitir dirigirse a internautas de todo el mundo
La megacompañía de Mark Zuckerberg enfrenta las denuncias públicas de una especialista en datos y exempleada suya, Frances Haugen, quien declaró en televisión que la red social "financia sus beneficios con nuestra seguridad". Ya la consultora Cambridge Analytica había denunciado la recopilación de información de alrededor de 80 millones de usuarios para dirigirles propaganda política específica en las elecciones presidenciales de Estados Unidos en 2016.
En esta nueva etapa, ya se acumularon más de mil millones de datos de usuarios disponibles, lo cual es suficiente para que se tomen medidas de mayor protección, debido a las filtraciones, pagas o no, de las que son pasibles. Los mayores riesgos que entraña una base de datos tan grande son el aumento del riesgo de spam por correo electrónico y SMS, los ataques de phishing y los ataques de control de cuentas.
Las cuentas más apetecidas por los atacantes
"Los cibercriminales pueden dirigirse a cualquier tipo de cuenta, pero las más preocupantes serían las de correo electrónico y las de instituciones financieras como los bancos", comenta Bud. "En particular, si los atacantes pueden emparejar un número de teléfono móvil con una persona concreta, pueden intentar realizar ataques de SIM Swapping, que son susceptibles de ser aplicados para vencer la autenticación de dos factores, utilizada para proteger el correo electrónico y las cuentas financieras en particular", completa.
Otro seguimiento de la ruta de los datos de los usuarios de internet en todo el mundo reveló que, en general, la sensible información personal que dejan los que realizan consultas en buscadores o publicaciones en redes sociales, hasta en sitios más sensibles como los de tarjetas de crédito o registros de salud, va a parar a manos de 418 empresas de diferentes perfiles y desde diferentes latitudes.
El relevamiento lo efectuó cotejando estadísticas la plataforma que permite a las empresas de América Latina cumplir con las regulaciones de privacidad. No tomó en cuenta las cookies, es decir, los archivos que almacenan información sobre preferencias de pautas y navegación.
Según la investigación hecha por Wibson, los usuarios entregaron esta información a las empresas de acuerdo a diferentes niveles y espectros de consentimientos. A veces, las políticas de datos son claras y otras veces los detalles están ocultos a la vista o enterrados en acuerdos de términos y condiciones difíciles de analizar. En ese sentido, las empresas tienen también diferentes niveles de protección y respuesta a las demandas de los usuarios sobre la privacidad de sus datos.
Por ejemplo, al medir la tasa de respuesta de las empresas respecto a las solicitudes de datos personales, se comprobó que en Europa el 77,8% de las firmas contestaban a la solicitud de datos, mientras que en América Latina solo el 37,5% lo hacen.
El estudio revela que no solo muchas empresas poseen datos de los usuarios, sino que también en la región las compañías necesitan ayuda para administrarlos. La implementación de las nuevas regulaciones de privacidad hace que cada vez sea más importante tomar las medidas correctas para poder cumplir con las normativas, comentó Rodrigo Irarrazaval, CEO y co-fundador de Wibson.
Este año entró en vigencia en Brasil la LGPD (Lei Geral de Proteção de Dados), que regula la privacidad de los datos de los usuarios. Su implementación generó una necesidad para más de 6 millones de empresas de cumplirla para evitar multas de hasta 9 millones de dólares. Esta norma fue concebida a imagen y semejanza de la GDPR (General Data Protection Regulation), la legislación en vigor desde 2018 en la Unión Europea.
Así, el escenario normativo respecto a la privacidad de datos es cada vez más complejo y requiere de las empresas que se adapten a las necesidades.