Los titulares dan miedo: ¡violación masiva de datos! Miles de millones de discos robados! ¡Millones de identidades personales en riesgo!
Parece que cada mes trae otra violación de datos y otra carrera loca para proteger nuestra riqueza de datos de intrusos desafortunados.
Las filtraciones de datos de la escala de Equifax, Yahoo, el IRS y otros son una preocupación seria, pero tienden a ser exageradas por los principales medios de comunicación, que a menudo son engañados por los llamados expertos en seguridad que sacan provecho del temor de que están ayudando a los alimentos, e incluso algunos miembros de la prensa especializada que deberían saberlo mejor. (Lea por qué las pequeñas empresas necesitan aprender de las violaciones de datos de alto perfil).
Al sembrar un pánico innecesario entre el público, estas tácticas de miedo hacen más daño que bien, provocando que la gente gaste dinero innecesariamente, comprometiendo aún más su identidad en el mercado y enmascarando los peligros reales de las infracciones.
Los datos expuestos no son datos robados
Uno de los problemas más básicos con la cobertura de violación de datos es la falta de definición clara de los términos utilizados por los expertos. El ejemplo más común es la diferencia entre los datos «robados» o simplemente «expuestos». (Lea el Aviso de violación de datos: Entorno legal y regulatorio).
Una informe reciente sobre Wired, la escritora de tecnología Lily Hay Newman señala lo obvio: los datos que ya no están protegidos están expuestos y pueden tomarse en cualquier momento, mientras que lo robado es, bueno, realmente robado. Entonces, aunque una violación puede exponer millones, incluso miles de millones de identificaciones, es probable que solo una pequeña fracción sea robada.
Es como tener todas tus pertenencias expuestas al robo durante un robo en tu casa, pero afortunadamente los ladrones se salieron con la suya solo con tu televisor de pantalla grande y dejaron tu valiosa colección de álbumes raros de Conway Twitty a salvo debajo del estéreo.
Además, gran parte de los datos expuestos, incluso los datos personales, ya están disponibles para cualquier persona que tenga una tarjeta de crédito. Los investigadores descubrieron previamente un tesoro de registros personales expuestos compilados por una empresa de San Francisco llamada People Data Labs (PDL).
PDL es un corredor de datos que se gana la vida vendiendo la información personal de ciudadanos privados. Si alguien quisiera alguno de esos datos expuestos, probablemente le costaría menos comprarlo de PDL en lugar de montar una operación de piratería sofisticada.
Esto nos lleva a otro conjunto de nombres inapropiados perpetuados por una industria de medios ingenua y las fuentes en las que se basan para explicar las filtraciones de datos: la forma vaga en que se vinculan términos como «registros», «cuentas» y «archivos» de títulos que se refieren a millones. y miles de millones de exposiciones.
En el verano de 2019, una empresa china llamada Orvibo informó de una infracción que expuso más de 2000 millones de registros de clientes, lo que desencadenó la ola esperada de titulares en todo el mundo. (Lea ¿Por qué los millennials son los principales objetivos de ciberdelincuencia?)
Pero como señaló MacKeeper en ese momentola cantidad de registros expuestos (nuevamente, no robados, solo expuestos) no corresponde a la cantidad de usuarios afectados.
Un registro es una sola línea de datos en una base de datos, por lo que tiene sentido que los usuarios, especialmente los usuarios corporativos, tengan múltiples registros en la base de datos de Orvibo. Y eso significa que la cantidad de usuarios expuestos es mucho menos de 2 mil millones, y la cantidad de usuarios cuyos datos reales fueron robados es aún menor.
Todo esto destaca el hecho importante que a menudo se pasa por alto en esta era de exposición de datos multimillonarios: incluso con todos estos datos supuestamente gratuitos, la incidencia del robo de identidad es relativamente baja. Además de la filtración de datos de Equifax, en 2017 también se produjo una infame filtración de datos de Yahoo que afectó a 3000 millones de usuarios, casi la mitad de la población mundial.
Olvidando por el momento cómo Yahoo no podía competir de manera efectiva en el mercado de las redes sociales con 3 mil millones de usuarios bajo su protección, datos de la Comisión Federal de Comercio muestra que solo hubo 3 millones de casos de fraude financiero en 2018 y menos del 15% se atribuyó al robo de identidad.
Cierto, eso fue un aumento de casi el 20 % con respecto al año anterior, que muy probablemente fue causado por el aumento de violaciones del año anterior, pero aún menos de medio millón de personas de un grupo de más de 3 mil millones por personas que fueron dirigidos. creer que sus datos han sido robados. Y debe tenerse en cuenta que las violaciones de datos no son la única forma en que se pueden robar las identificaciones.
La causa más común, de hecho, es una simple estafa de phishing (aunque el correo electrónico objetivo de la estafa probablemente se obtuvo a partir de datos robados).
Además, las consecuencias del robo de identidad no son tan malas como hace unos años. Los datos de la FTC muestran que el costo de la forma más extendida de robo de identidad, el fraude con tarjetas de crédito, se ha reducido drásticamente durante el último año debido a los lectores de chips y otras medidas. Y en prácticamente todos los casos, los tarjetahabientes no son responsables de los cargos relacionados con este tipo de robo.
Incluso Administracion de la Seguridad Social simplificó el proceso de informar y reparar números de SS existentes o asignar nuevos cuando el daño se extiende más allá del simple fraude.
Un problema de toda la industria
Nada de esto quiere decir que las violaciones de datos o el robo de identidad deban ignorarse, pero el hecho es que los titulares que rodean cualquier violación dada dramatizan en gran medida la verdadera gravedad del problema y, en general, los problemas resultantes que experimentan los consumidores suelen ser a cargo de la industria, no de los individuos.
De hecho, el pánico por estos incidentes a menudo hace que las personas reaccionen de forma exagerada, incluso hasta el punto de aumentar el riesgo de robo de identidad.
Tras la violación de Equifax, El LA Times publicó una historia interesante en el flujo de aplicaciones a LifeLock y otros servicios de protección. Estas empresas agrupan una amplia gama de servicios nacionales y de terceros, incluidos los servicios de protección crediticia ofrecidos por las tres principales agencias de supervisión crediticia, incluida Equifax.
Al final, esto no solo resultó en una excepción para Equifax luego de su incumplimiento, sino que los usuarios terminaron entregando información personal a la misma compañía que permitió que fuera expuesta en primer lugar. Y ninguno de estos servicios de protección está diseñado para proteger los datos o prevenir el robo, solo para minimizar el daño y ayudar a restaurar el crédito después de que haya ocurrido un robo.
Ciertamente, cualquier violación de datos es un problema grave porque expone los agujeros que existen en la infraestructura de datos que ahora es vital para nuestra forma de vida moderna. Pero hay una gran diferencia entre abordar un problema de manera racional y difundir titulares falsos o engañosos que asustan a los consumidores para que cometan actos irracionales.
La responsabilidad de los medios es informar la verdad en todo su contexto, no infundir miedo para obtener visitas a una página web.
