¿Cómo comprobar si has sido víctima de robo o uso indebido de datos?

El miedo es del todo normal y lógico. Cuando sale a la luz una vulneración de datos, la primera pregunta que nos hacemos es evidente: ¿me habrá tocado a mí?

La reacción normal es comparar la compañía pirateada con una lista interna de las empresas, los productos o las interacciones en línea que hayas realizado en los últimos años. Una vez hecha esta lista de riesgos potenciales, puedes respirar a gusto. Y, como tus otras cuentas no se mencionan en las noticias, ya no hay motivos para preocuparse y puedes relajarte. ¿Verdad?

Pues no. Si piensas que «no tener noticias, son buenas noticias» te olvidas de algo importante: suele transcurrir bastante tiempo entre el momento en que se roban los datos y cuando se hace pública la vulneración. A veces, este periodo puede ser de años. Y hay muchas vulneraciones de datos que no llegan nunca a hacerse públicas.

La forma de enterarnos de una vulneración de datos puede variar tanto como los modos de sustraer la información. Puede ocurrir que alguien se entere por las noticias de que una tienda en la que suele comprar ha sido pirateada. También puede notar un frenesí de actividad en su cuenta bancaria o puede que no note nada, hasta que vaya a solicitar un préstamo.

Lo cierto es que los robos de información pueden ser muy distintos entre sí. Hay filtraciones de datos que pueden detectarse en la web profunda en semanas porque los ciberdelincuentes trabajan para convertir esta información en dinero mientras los datos robados aún están frescos. En algunas filtraciones industriales o dirigidas por estados —como la sufrida por Marriott, en la que los datos no aparecieron nunca en la web profunda—, el único propósito de la vulneración es recopilar registros detallados de personas.

Cinco formas de descubrir si han robado o filtrado tus datos personales

1. En las noticias

Periódicos como el New York Times o el Wall Street Journal a menudo publican información sobre casos importantes de vulneraciones. Publicaciones especializadas en seguridad, como Krebsonsecurity o SC Magazine, son una opción mejor ya que suelen ofrecer información más detallada sobre cómo tuvo lugar la vulneración.

2. En extractos bancarios

Comprueba siempre tus extractos bancarios en busca de pagos extraños o inusuales. Si ves una sucesión de compras de pizza, puede que tu cuenta haya sido pirateada o te hayan robado los datos de la tarjeta de crédito.

3. En Haveibeenpwned

Have I Been Pwned? es el sitio web al que acudir si quieres comprobar si tu información personal se ha filtrado en una vulneración de datos. Fue desarrollado por Troy Hunt tras la vulneración de Adobe, en la que se piratearon las mismas cuentas y contraseñas una y otra vez. Para usarlo, accede a https://haveibeenpwned.com/, introduce tu dirección de correo y haz clic en «pwned?». Si ves el mensaje «Oh no — pwned!», es muy probable que los datos de tu cuenta hayan aparecido en alguna filtración reciente. Se limita a correos electrónicos y no incluye otros datos pirateables, como información relacionada con la Seguridad Social o números de teléfono.

4. En agencias de crédito

En Estados Unidos, puedes obtener un informe de crédito gratuito al año de cada una de las tres principales agencias de crédito: Equifax, Experian y TransUnion. Es la forma tradicional de destapar actividades sospechosas y desvelar el estado de nuevas cuentas. No obstante, Equifax sufrió su propia vulneración de datos, lo cual nos hace sospechar un poco de sus procesos de tratamiento de datos. A partir de 2018, los estadounidenses también pueden congelar sus expedientes de crédito, evitando que las tres agencias publiquen o vendan tus informes. Se trata también de un servicio gratuito, en comparación con los servicios de «congelación de crédito» de las agencias.

5. La declaración pública

Sí, las empresas están sujetas a requisitos formales de notificación cuando sufren una vulneración de los datos personales de sus clientes. Las sanciones por incumplimiento pueden ser considerables. Sin embargo, estos avisos normalmente llegan una vez que se ha publicado la vulneración en la prensa, así que no son más que la confirmación con retraso de un hecho ya conocido.

Este artículo también está disponible en: InglésFrancésItalianoPortugués, Brasil

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.