text.compare.title

text.compare.empty.header

Noticias

Internet y los hackers desnudan tu identidad

      
Parece ser que cada día se conocen nuevos robos de identidad, lo que nos lleva a plantearnos una serie de cuestiones: Las operadoras de base de datos, ¿deberían estar reguladas? El robo de identidad, ¿podría perjudicar de alguna manera al comercio electrónico? ¿Cómo se protegen los individuos? Desafortunadamente, en opinión de profesores de Wharton y otros expertos en el tema, las respuestas no son sencillas, en especial cuando la información personal está fácilmente al alcance de cualquiera a través de los buscadores.<br/><br/><span style=font-weight: bold;><br/>Es necesario informar sobre las brechas de seguridad</span><br/><br/> En opinión de Clemons, las brechas de seguridad en ChoicePoint y Lexis-Nexis podrían inclinar la balanza a favor de la ley propuesta por Feinstein. De hecho, a pesar de que en un principio Clemons no estaba a favor de una ley nacional que obligase a informar sobre los robos de identidad, ahora cree que es necesario algún tipo de legislación. Sin una ley que obligue a informar y/o establezca multas en los casos de fugas de datos, las empresas no van a preocuparse de protegerlos. ¿Por qué? Porque actualmente las empresas desde las que se filtra información no son responsables de los daños que se deriven. Las instituciones financieras pagan la mayoría de los platos rotos en caso de fraude bancario, pérdida de los números de la tarjeta de crédito y similares. Si el 100% del perjuicio causado fuese pagado por aquél que permitió el robo de los datos, la actitud frente al fraude sería muy diferente, afirma Clemons. Informar sobre estos casos tiene mucho sentido, y también sería apropiado aplicar ciertas sanciones financieras.<br/><br/> Hunter también cree que es necesario que haya una ley, pero señala que el camino que tendrá que recorrer hasta conseguir su aprobación será largo y complicado debido a la resistencia que mostrarán las empresas de marketing cuyo negocio depende de los perfiles creados. Empresas como ChoicePoint, que en la actualidad prácticamente disfrutan de un entorno sin regulación, no van a dar la bienvenida a ninguna ley que rija su política de seguridad. Además, en opinión de Hunter es necesario un cambio de actitud frente a la integridad de los datos personales. Tenemos esta idea estrambótica de que los datos recopilados por las empresas son de su propiedad, y nos basamos en la teoría de que ellas mismas los recopilaron o los compraron. Por tanto pueden hacer con ellos lo que quieran. Pero si nos detenemos un momento y pensamos en todos los costes sociales e individuales que gente completamente inocente tiene que soportar cuando se roba su identidad, entonces estableceríamos estándares más elevados de seguridad, accesibilidad y edición de la información personal de la gente.<br/><br/> Clemons dice que una ley a nivel nacional está justificada por tres motivos: primero, porque el robo de identidad está empezando a ser un fenómeno financieramente significativo y motivo de grandes preocupaciones por parte de los consumidores. En segundo lugar, porque informar sobre las brechas de seguridad detectadas proporciona a los individuos y a sus instituciones financieras tiempo para protegerse a sí mismos, y les puede servir de advertencia si tenemos en cuenta que la mayor parte del riesgo financiero va a recaer sobre ellos. De hecho, señala Whitehouse, dar a los consumidores tiempo para reaccionar ante un robo de identidad es uno de los mayores motivos para aprobar la ley propuesta por Feinstein. Creo que es necesario informar a los consumidores rápidamente, para que así puedan denunciar el robo ante sus agencias de crédito y minimizar el riesgo. Si no se informa cuando alguien ha entrado en el sistema, los consumidores sólo se darán cuenta cuando el fraude ya se ha producido, y entonces ya es demasiado tarde.<br/><br/> El tercer motivo es que, aparte de la vergüenza de las empresas, que han de admitir que se ha producido una sustracción de sus datos, no existe ningún otro efecto negativo asociado al hecho de informar de las quiebras detectadas en el sistema. Una ley que obligue a las empresas a informar al menos reasignaría parte del riesgo, ya que sería un desprestigio para la reputación de las partes que causaron el daño o bien permitieron que ocurriese. <br/><br/> Por ejemplo, desde que se han dado a conocer los problemas de seguridad de ChoicePoints, la empresa ha abandonado el negocio de venta de datos como números de la seguridad social o del carné de conducir, a menos que se trate de una transacción iniciado por el consumidor en beneficio de éste, o a no ser que los productos cumplan objetivos penales o de los gobiernos federal, estatal o local. ChoicePoint también ha designado a Carol A. DiBattiste, actual administradora en funciones de la TSA (Transportation Security Administration) de Estados Unidos, para ocupar el puesto de directora de privacidad (credenciales y conformidad) de la empresa. Estos cambios son consecuencia directa de la reciente actividad fraudulenta, afirmaba el consejero delegado de ChoicePoint Derek Smith en un comunicado.<br/><br/><span style=font-weight: bold;><br/>Robo de identidad: fácil y frecuente</span><br style=font-weight: bold;/><br/> ¿Por qué el robo de identidad parece estar adoptando la forma de bola de nieve que rueda sin control por la ladera? Porque es demasiado fácil. En cuanto la información personal llega a Internet, ya no se puede escapar. En opinión de Hunter, dedicando algo de tiempo a Lexis-Nesix se pueden conseguir información sobre propiedades, impuestos abonados y otros datos relevantes. Hasta que no reconozcamos que los datos que permiten identificar a las personas son un aspecto muy valioso de la vida de los individuos, no simplemente una parte de la cuenta de resultados de empresas como Reed-Elsevier (la matriz de Lexis-Nexis), nos seguiremos despertado con la noticia de una nueva profanación más o menos cada tres días, sostiene Hunter.<br/><br/> Pero el tema realmente importante es: ¿Quién necesita contratar a Lexis-Nexis cuando existe Google? Joshua Pennell, consejero delegado de IOActive, una empresa de seguridad con sede en Seattle, participaba recientemente en una conferencia sobre la aplicación de las leyes e ilustraba lo fácil que era encontrar identificadores personales utilizando Google. Con Google no es necesario ser un hacker con de malas intenciones, dice Pennell. Cualquiera puede hacerlo. Pennell dio con más de 1.000 historiales, además de diversa documentación como informes corporativos sobre el personal, hojas de cálculo de Excel y pasaportes escaneados. ¿Cómo se introdujo esta información en Internet? Las empresas, o los individuos, cuelgan en Internet los documentos suponiendo que nadie los va a ver. Estamos frente a un problema cultural, dice Pennell. Puedes poner todos los cortafuegos del mundo, pero si envías documentos a través de la Red, se verán. La seguridad es muy poco estricta.<br/><br/> Este es el motivo por el que Pennell afirma que la ley podría incrementar la seguridad. Para provocar un cambio cultural vamos a obligar a las empresas a airear sus trapos sucios. ¿Quién está deseando contarle al mundo que ha perdido información sobre ti?<br/><br/> David Farber, antiguo profesor de Ciencias de la Información de la Universidad de Pensilvania, ahora en la Universidad Carnegie Mellon, sostiene que Internet hace muy fácil extraer pequeñas cantidades de información para después reagruparlas con el fin de averiguar la identidad de alguien. Los datos personales en la Red son como el genio que no quiere volver a entrar en la lámpara. El hecho de estar viviendo en un mundo interconectado hace que el problema sea aún más complicado, dice. <br/><br/><br/><span style=font-weight: bold;><br/>Solucionando el problema</span><br/><br/> Como el robo de identidad es 1) fácil y 2) el resultado de procedimientos corporativos poco estrictos, en algún momento los consumidores y las empresas con datos personales tienen que encontrarse para prevenir el robo de identidad, dice Farber. Los procedimientos corporativos tienen que cambiarse, y los consumidores tienen que vigilar sus datos propios. Desde el punto de vista de los consumidores, Farber hace eco de muchos otros expertos, que han aconsejado a los individuos hacer jirones los documentos y abstenerse de proporcionar información de tipo personal. Farber emplea una única tarjeta de crédito para las transacciones online, de tal modo que tan sólo tiene que cancelar una cuando ve comprometida su seguridad. Tampoco responde a los correos electrónicos solicitando información como los números de la tarjeta de crédito o de la seguridad social, y comprueba regularmente los pagos detallados realizados con su tarjeta de crédito.<br/><br/> Hasta que los agregadores de contenidos sean más seguros o la legislación obligue a las empresas a prestar una mayor vigilancia a los datos, la responsabilidad de proteger la información personal seguirá recayendo sobre los hombros de los consumidores. Clemons cree que cuando un consumidor proporciona tan sólo una pizca de información, el ladrón puede hacer buen uso de ella. Un ladrón puede utilizar información simple, disponible al momento, como por ejemplo el número de la Seguridad Social, el número de teléfono o el nombre de los padres, para averiguar la identidad, y luego conseguir fácilmente información cada vez más delicada. <br/><br/> En lo que respecta a las corporaciones, es poco probable que se produzcan grandes cambios sin que se apruebe una regulación a nivel federal, sugiere Clemons. ¿El motivo? Porque en ausencia de penalizaciones asociadas a los percances sufridos por los datos, invertir en seguridad no proporciona grandes. No se produjo rendimiento alguno derivado de invertir en el control de la contaminación hasta que la legislación y las demandas judiciales asignaron la mayor parte del coste de contaminar a los que contaminan, explica Clemons. Asimismo, se invertirá en tapar los agujeros en el sistema, y será la primera vez que se estimen los perjuicios financieros que un agregador de contenidos causa a los bancos y propietarios de tarjetas de crédito por no ser capaz de proteger la información. En economía, la situación actual de los agregadores de contenidos se considera una externalidad, dice Clemons. Unos disfrutan los beneficios mientras otros sufren los costes. <br/><br/><br style=font-weight: bold;/><span style=font-weight: bold;>Tecnología: ¿la varita mágica?</span><br/><br/> Aunque podría decirse que la tecnología ha provocado que el robo de identidades sea más fácil, ¿podría también emplearse para proteger la información?<br/><br/> En realidad no, dice Whitehouse. La clave para proteger la identidad es construir un sistema con múltiples niveles de seguridad. Para llegar hasta la información, alguien debería haberse molestado en saltar múltiples niveles de procedimientos de seguridad. Para añadir más seguridad se necesitarían dos cosas: la aceptación por parte de los consumidores y nuevos procedimientos para las transacciones financieras. El problema es que esta solución no goza de excesiva popularidad, en especial si por ejemplo se necesita más tiempo para que un crédito se apruebe. Clemons explica que algo tan sencillo como perder la contraseña podría ser mucho más inoportuno. Como sería más complicado determinar que tú eres tú, también sería más difícil determinar tu derecho a obtener tu contraseña, explica.<br/><br/> Otras soluciones consistirían en dejar de utilizar los números de la seguridad social como identificación, cambiar con frecuencia las contraseñas o utilizar números de tarjetas de crédito virtuales que cambiasen con cada compra online, de tal modo que nunca se revelase el número real. Si todas estas soluciones se incorporan a los sistemas de información, el valor de los datos robados se aproxima a cero, sostiene Clemons.<br/><br/> Ya que dichas soluciones no se van a instaurar de la noche a la mañana, los consumidores no cuentan con mucho para aliviar sus penas, excepto tal vez rezar para que su identidad no sea robada, dice Hunter. Esta área es sinceramente una mugrienta lata de gusanos. Y en un futuro inmediato no va a mejorar.<br/><br/>
Parece ser que cada día se conocen nuevos robos de identidad, lo que nos lleva a plantearnos una serie de cuestiones: Las operadoras de base de datos, ¿deberían estar reguladas? El robo de identidad, ¿podría perjudicar de alguna manera al comercio electrónico? ¿Cómo se protegen los individuos? Desafortunadamente, en opinión de profesores de Wharton y otros expertos en el tema, las respuestas no son sencillas, en especial cuando la información personal está fácilmente al alcance de cualquiera a través de los buscadores.


Es necesario informar sobre las brechas de seguridad


En opinión de Clemons, las brechas de seguridad en ChoicePoint y Lexis-Nexis podrían inclinar la balanza a favor de la ley propuesta por Feinstein. De hecho, a pesar de que en un principio Clemons no estaba a favor de una ley nacional que obligase a informar sobre los robos de identidad, ahora cree que es necesario algún tipo de legislación. Sin una ley que obligue a informar y/o establezca multas en los casos de "fugas de datos", las empresas no van a preocuparse de protegerlos. ¿Por qué? Porque actualmente las empresas desde las que se filtra información no son responsables de los daños que se deriven. Las instituciones financieras pagan la mayoría de los platos rotos en caso de fraude bancario, pérdida de los números de la tarjeta de crédito y similares. "Si el 100% del perjuicio causado fuese pagado por aquél que permitió el robo de los datos, la actitud frente al fraude sería muy diferente", afirma Clemons. "Informar sobre estos casos tiene mucho sentido, y también sería apropiado aplicar ciertas sanciones financieras".

Hunter también cree que es necesario que haya una ley, pero señala que el camino que tendrá que recorrer hasta conseguir su aprobación será largo y complicado debido a la resistencia que mostrarán las empresas de marketing cuyo negocio depende de los perfiles creados. Empresas como ChoicePoint, que en la actualidad prácticamente disfrutan de un entorno sin regulación, no van a dar la bienvenida a ninguna ley que rija su política de seguridad. Además, en opinión de Hunter es necesario un cambio de actitud frente a la integridad de los datos personales. "Tenemos esta idea estrambótica de que los datos recopilados por las empresas son de su propiedad, y nos basamos en la teoría de que ellas mismas los recopilaron o los compraron. Por tanto pueden hacer con ellos lo que quieran. Pero si nos detenemos un momento y pensamos en todos los costes sociales e individuales que gente completamente inocente tiene que soportar cuando se roba su identidad, entonces estableceríamos estándares más elevados de seguridad, accesibilidad y edición de la información personal de la gente".

Clemons dice que una ley a nivel nacional está justificada por tres motivos: primero, porque el robo de identidad está empezando a ser un fenómeno financieramente significativo y motivo de grandes preocupaciones por parte de los consumidores. En segundo lugar, porque informar sobre las brechas de seguridad detectadas proporciona a los individuos y a sus instituciones financieras tiempo para protegerse a sí mismos, y les puede servir de advertencia si tenemos en cuenta que la mayor parte del riesgo financiero va a recaer sobre ellos. De hecho, señala Whitehouse, dar a los consumidores tiempo para reaccionar ante un robo de identidad es uno de los mayores motivos para aprobar la ley propuesta por Feinstein. "Creo que es necesario informar a los consumidores rápidamente", para que así puedan "denunciar el robo ante sus agencias de crédito y minimizar el riesgo. Si no se informa cuando alguien ha entrado en el sistema, los consumidores sólo se darán cuenta cuando el fraude ya se ha producido, y entonces ya es demasiado tarde".

El tercer motivo es que, aparte de la vergüenza de las empresas, que han de admitir que se ha producido una sustracción de sus datos, no existe ningún otro efecto negativo asociado al hecho de informar de las quiebras detectadas en el sistema. Una ley que obligue a las empresas a informar al menos reasignaría parte del riesgo, ya que sería un desprestigio para la reputación de las partes que causaron el daño o bien permitieron que ocurriese.

Por ejemplo, desde que se han dado a conocer los problemas de seguridad de ChoicePoints, la empresa ha abandonado el negocio de venta de datos como números de la seguridad social o del carné de conducir, a menos que se trate de una transacción iniciado por el consumidor en beneficio de éste, o a no ser que los productos cumplan objetivos penales o de los gobiernos federal, estatal o local. ChoicePoint también ha designado a Carol A. DiBattiste, actual administradora en funciones de la TSA (Transportation Security Administration) de Estados Unidos, para ocupar el puesto de directora de privacidad (credenciales y conformidad) de la empresa. "Estos cambios son consecuencia directa de la reciente actividad fraudulenta", afirmaba el consejero delegado de ChoicePoint Derek Smith en un comunicado.


Robo de identidad: fácil y frecuente


¿Por qué el robo de identidad parece estar adoptando la forma de bola de nieve que rueda sin control por la ladera? Porque es demasiado fácil. En cuanto la información personal llega a Internet, ya no se puede escapar. En opinión de Hunter, dedicando algo de tiempo a Lexis-Nesix se pueden conseguir información sobre propiedades, impuestos abonados y otros datos relevantes. "Hasta que no reconozcamos que los datos que permiten identificar a las personas son un aspecto muy valioso de la vida de los individuos, no simplemente una parte de la cuenta de resultados de empresas como Reed-Elsevier (la matriz de Lexis-Nexis), nos seguiremos despertado con la noticia de una nueva profanación más o menos cada tres días", sostiene Hunter.

Pero el tema realmente importante es: ¿Quién necesita contratar a Lexis-Nexis cuando existe Google? Joshua Pennell, consejero delegado de IOActive, una empresa de seguridad con sede en Seattle, participaba recientemente en una conferencia sobre la aplicación de las leyes e ilustraba lo fácil que era encontrar identificadores personales utilizando Google. "Con Google no es necesario ser un hacker con de malas intenciones", dice Pennell. "Cualquiera puede hacerlo". Pennell dio con más de 1.000 historiales, además de diversa documentación como informes corporativos sobre el personal, hojas de cálculo de Excel y pasaportes escaneados. ¿Cómo se introdujo esta información en Internet? Las empresas, o los individuos, cuelgan en Internet los documentos suponiendo que nadie los va a ver. "Estamos frente a un problema cultural", dice Pennell. "Puedes poner todos los cortafuegos del mundo, pero si envías documentos a través de la Red, se verán. La seguridad es muy poco estricta".

Este es el motivo por el que Pennell afirma que la ley podría incrementar la seguridad. "Para provocar un cambio cultural vamos a obligar a las empresas a airear sus trapos sucios. ¿Quién está deseando contarle al mundo que ha perdido información sobre ti?"

David Farber, antiguo profesor de Ciencias de la Información de la Universidad de Pensilvania, ahora en la Universidad Carnegie Mellon, sostiene que Internet hace muy fácil extraer pequeñas cantidades de información para después reagruparlas con el fin de averiguar la identidad de alguien. Los datos personales en la Red son como el genio que no quiere volver a entrar en la lámpara. "El hecho de estar viviendo en un mundo interconectado hace que el problema sea aún más complicado", dice.



Solucionando el problema


Como el robo de identidad es 1) fácil y 2) el resultado de procedimientos corporativos poco estrictos, en algún momento los consumidores y las empresas con datos personales tienen que encontrarse para prevenir el robo de identidad, dice Farber. "Los procedimientos corporativos tienen que cambiarse, y los consumidores tienen que vigilar sus datos propios". Desde el punto de vista de los consumidores, Farber hace eco de muchos otros expertos, que han aconsejado a los individuos hacer jirones los documentos y abstenerse de proporcionar información de tipo personal. Farber emplea una única tarjeta de crédito para las transacciones online, de tal modo que tan sólo tiene que cancelar una cuando ve comprometida su seguridad. Tampoco responde a los correos electrónicos solicitando información como los números de la tarjeta de crédito o de la seguridad social, y comprueba regularmente los pagos detallados realizados con su tarjeta de crédito.

Hasta que los agregadores de contenidos sean más seguros o la legislación obligue a las empresas a prestar una mayor vigilancia a los datos, la responsabilidad de proteger la información personal seguirá recayendo sobre los hombros de los consumidores. Clemons cree que cuando un consumidor proporciona tan sólo una pizca de información, el ladrón puede hacer buen uso de ella. "Un ladrón puede utilizar información simple, disponible al momento, como por ejemplo el número de la Seguridad Social, el número de teléfono o el nombre de los padres, para averiguar" la identidad, y luego "conseguir fácilmente información cada vez más delicada".

En lo que respecta a las corporaciones, es poco probable que se produzcan grandes cambios sin que se apruebe una regulación a nivel federal, sugiere Clemons. ¿El motivo? Porque en ausencia de penalizaciones asociadas a los percances sufridos por los datos, invertir en seguridad no proporciona grandes. "No se produjo rendimiento alguno derivado de invertir en el control de la contaminación hasta que la legislación y las demandas judiciales asignaron la mayor parte del coste de contaminar a los que contaminan", explica Clemons. Asimismo, se invertirá en "tapar los agujeros en el sistema", y será "la primera vez que se estimen los perjuicios financieros que un agregador de contenidos causa a los bancos y propietarios de tarjetas de crédito por no ser capaz de proteger la información". En economía, la situación actual de los agregadores de contenidos se considera una "externalidad", dice Clemons. "Unos disfrutan los beneficios mientras otros sufren los costes".


Tecnología: ¿la varita mágica?

Aunque podría decirse que la tecnología ha provocado que el robo de identidades sea más fácil, ¿podría también emplearse para proteger la información?

En realidad no, dice Whitehouse. La clave para proteger la identidad es construir un sistema con múltiples niveles de seguridad. Para llegar hasta la información, alguien debería haberse molestado en saltar múltiples niveles de procedimientos de seguridad. Para añadir más seguridad se necesitarían dos cosas: la aceptación por parte de los consumidores y nuevos procedimientos para las transacciones financieras. El problema es que esta solución no goza de excesiva popularidad, en especial si por ejemplo se necesita más tiempo para que un crédito se apruebe. Clemons explica que algo tan sencillo como perder la contraseña podría ser mucho más inoportuno. "Como sería más complicado determinar que tú eres tú, también sería más difícil determinar tu derecho a obtener tu contraseña", explica.

Otras soluciones consistirían en dejar de utilizar los números de la seguridad social como identificación, cambiar con frecuencia las contraseñas o utilizar números de tarjetas de crédito virtuales que cambiasen con cada compra online, de tal modo que nunca se revelase el número real. Si todas estas soluciones se incorporan a los sistemas de información, el valor de los datos robados se aproxima a cero, sostiene Clemons.

Ya que dichas soluciones no se van a instaurar de la noche a la mañana, los consumidores no cuentan con mucho para aliviar sus penas, excepto tal vez rezar para que su identidad no sea robada, dice Hunter. "Esta área es sinceramente una mugrienta lata de gusanos. Y en un futuro inmediato no va a mejorar".

  • Fuente:

Tags:

Aviso de cookies: Usamos cookies propias y de terceros para mejorar nuestros servicios, para análisis estadístico y para mostrarle publicidad. Si continúa navegando consideramos que acepta su uso en los términos establecidos en la Política de cookies.