Sobre el ciberataque masivo a la CNMC
El hackeo masivo que afectó a la Comisión Nacional de los Mercados y la Competencia, CNMC, de España, que expuso 2.000 millones de registros vinculados a usuarios de teléfonos móviles, plantea serias preocupaciones sobre la seguridad y la privacidad de los datos personales.
Si bien el número de usuarios únicos afectados es mucho menor, este tipo de incidentes siempre tienen varias consecuencias de gran alcance:
Los datos filtrados, que al parecer incluyen información confidencial como números de teléfono y posiblemente incluso documentos de identificación, proporcionan un tesoro para los cibercriminales. Esto podría resultar en robo de identidad, fraude financiero y campañas de phishing dirigidas a las personas afectadas.
Las organizaciones involucradas en tales infracciones a menudo enfrentan multas significativas en virtud de leyes como el RGPD de la UE, especialmente si se descubre que las medidas de seguridad inadecuadas han facilitado la infracción. Esto podría resultar en multas millonarias.
Los incidentes de esta magnitud socavan la confianza pública en las instituciones que gestionan datos personales. Las entidades afectadas, como los proveedores de telecomunicaciones y los organismos reguladores, pueden enfrentar daños a la reputación, pérdida de clientes y un escrutinio regulatorio más estricto.
Las fugas de datos a esta escala también pueden ser explotadas para espionaje o por actores maliciosos que buscan comprometer la infraestructura crítica. Para agregar más, según los datos, 240 GB para una fuga de 200 millones de registros equivale aproximadamente a 1,2 KB por registro.
Tamaño total de los datos: 240 GB = 240 × 10910^9109 bytes (240 mil millones de bytes).
Total de registros: 200 millones de registros = 200×106200 × 10^6200×106 registros.
El tamaño de un registro se calcula de la siguiente manera: Tamaño por registro = Tamaño total de los datos / Total de registros.
Una base de datos con 1,2 KB por registro podría almacenar cómodamente información de identificación personal completa, incluidos detalles personales básicos, identificadores y algunos datos opcionales adicionales como hashes biométricos. Podríamos suponer que:
- Tamaño del campo (bytes)
- Información personal básica ~150
- Datos de contacto ~350
- Identificadores gubernamentales ~40
- Información financiera ~50
- Información digital ~80
- Detalles laborales ~115
- Metadatos ~30
- Opcional (p. ej., biometría) ~512
- Tamaño total estimado ~1200
Esta no es la primera vez que vemos filtraciones de este tipo. Por ejemplo, en 2021, se expusieron datos de 533 millones de usuarios de Facebook, incluidos nombres completos, ID de Facebook, números de teléfono, ubicaciones, fechas de nacimiento, biografías y direcciones de correo electrónico. En noviembre de 2022, la Comisión de Protección de Datos de Irlanda multó a Meta, la empresa matriz de Facebook, con 265 millones de euros (aproximadamente 276 millones de dólares estadounidenses). Esta multa estaba relacionada con la filtración de datos de 2021 que expuso la información personal de más de 533 millones de usuarios, incluidos números de teléfono, fechas de nacimiento y direcciones de correo electrónico. La filtración se consideró una violación del requisito del RGPD de "Protección de datos por diseño y por defecto". También se exigió a Meta que implementara medidas correctivas específicas para garantizar el cumplimiento.
Alexander Evnik, investigador tecnológico, Atomic Research Ant (TR), Acronis
