A principios de 2019 salía a la luz la que es, hasta el momento, la mayor brecha de datos de la historia, involucrando a más de 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas. Y es que este año se perfila como el de los datos personales y la privacidad.

Esa brecha fue la mayor, pero no la única. Prácticamente cada semana se suceden las noticias de nuevos fallos de seguridad que las empresas deben reportar, ya que están involucrados los datos de sus usuarios.

En este artículo iremos actualizando (de las más recientes a las más antiguas) las brechas de datos conocidas más relevantes, así como el número de notificaciones de brechas de seguridad que recibe mensualmente la Agencia Española de Protección de Datos, que en lo que va de año ha recibido 387 notificaciones de brechas de seguridad.

Informes AEPD:

Abril 2019: 95 notificaciones de brechas de seguridad

Marzo 2019: 113 notificaciones de brechas de seguridad.

Febrero 2019: 101 notificaciones de brechas de seguridad.

Enero 2019: 78 notificaciones de brechas de seguridad recibidas.

brechas de datos notificadas agencia española proteccion datos bit life media grafico 2019 aepg filtraciones brechas seguridad

Principales brechas de datos de 2019:

17. WhatsApp 

No se puede considerar una brecha de información como tal, aunque ha causado un gran revuelo, ya que el fallo sí permitía acceder a datos de usuarios. WhatsApp reconoció que había tenido un problema de seguridad que permitía a los atacantes espiar a los usuarios a través de una llamada en la aplicación.

16. StackOverflow

Stack Overflow, la plataforma para compartir conocimiento sobre temas de desarrollo de software, ha sufrido un ciberataque en mayo que ha expuesto los datos de algunos usuarios.

15. Facebook III

Facebook ha reconocido que recopiló 1,5 millones de direcciones de correo electrónico de usuarios y sus contraseñas sin su consentimiento. ¿El motivo? Acceder a las agendas y los contactos de los usuarios para tener más gente a la que recomendar.

14. Xiaomi

Una vulnerabilidad en la app de seguridad de Xiaomi ha dejado a sus usuarios expuestos a ataques. Se estima que podría estar preinstalada en 150 millones de dispositivos del fabricante. La vulnerabilidad dejaba expuestos a los usuarios frente a ataques denominados Man-in-the-Middle (MiTM), lo que significa que alguien podría interceptar la comunicación emitida por el dispositivo.

13. Facebook II

La red social no levanta cabeza, en lo que a escándalos relacionados con la privacidad de los datos de los usuarios se refiere. A principios de abril se ha descubierto que los nombres, cuentas y datos de 540 millones de usuarios de la red social estaban almacenados en servidores de Amazon sin ninguna seguridad.

Los datos realmente fueron recolectados a una aplicación que se conecta a Facebook, una plataforma de medios mejicana llamada Cultura Colectiva, que es la dueña de esos millones de datos. Esa información era accesible y descargable por cualquiera que la encontrara online, como explican desde Bloomberg.

12. Toyota

A finales de marzo, Toyota ha reconocido que una brecha de seguridad ha expuesto los datos de 3,1 millones de clientes, incluyendo también su gama Lexus. Ciberatacantes han aprovechado un fallo en su sistema para acceder a la información de los servidores de la compañía.

No se ha confirmado si han accedido a todos los datos o si han sido filtrados, pero la marca asegura que los datos bancarios de los usuarios no estaban en los sistemas afectados.

11. Facebook

Entre 200 y 600 millones de contraseñas se han almacenado en texto plano al alcance de los miles de empleados de Facebook.

La noticia saltaba a mediados de marzo. Cientos de millones de contraseñas de usuarios de Facebook eran almacenadas en texto plano (es decir, tal y como estás leyendo estas líneas, sin ningún cifrar) en los sistemas de la red social. Los miles de empleados de Facebook podían hacer búsquedas simples para encontrar estas contraseñas sin proteger.

10. Nokia

A mediados de marzo, Nokia ha estado en el punto de mira por un fallo de seguridad que ha expuesto información. La publicación noruega NRK publicó que teléfonos Nokia habían estado enviando paquetes de datos sin cifrar a un servidor ubicado en China.

9. Gearbest

Un servidor mal configurado (al parecer no contaba ni con contraseña) de la empresa china Gearbest provocó que millones de datos de usuarios y clientes se filtraran en internet. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña.

Gearbest es una de las plataformas de comercio electrónico más populares. Entre los datos filtrados se encuentran correos electrónicos, contraseñas, perfiles de usuario, órdenes de compra, correos electrónicos e incluso datos de métodos de pago.

8. Verifications IO

En marzo se descubrió una carpeta con 150 GB de información procedente de Verifications IO. En total, 800 millones de e-mails y datos que contenían información sensible y datos personales. Posteriormente, salió a la luz que en total los usuarios afectados habían sido 2.000 millones, como publicaba la revista Forbes. El problema derivaba de una base de datos MongoDB desprotegida.

7. Rubrik

La compañía de gestión de datos y recuperación en la nube tuvo accesible un servidor con decenas de gigabytes de datos de sus clientes, como informaba TechCrunch. Rubrik confirmaba que mientras desarrollaban una nueva solución en un entorno aislado algunos datos corporativos y de soporte estuvieron accesibles potencialmente por un corto periodo de tiempo.

6. Twitter

Un fallo en la red social dejó en enero expuestos los tweets protegidos de aquellos usuarios que tenían sus perfiles cerrados. En concreto, de los que realizaron algún cambio en sus cuentas o configuración entre 2014 y 2019 en la app de Twitter para Android.

5. Fornite

Varias vulnerabilidades afectaron en enero a los registros de cuentas del popular juego Fortnite, que dejaron expuestos datos personales y de tarjetas de crédito de los jugadores. Los fallos de seguridad permitían que los atacantes pudieran hacerse con el control de las cuentas de usuario, y realizar compras y pagos dentro del juego. Otra vulnerabilidad permitía acceder a información personal de los usuarios además de escuchar las conversaciones dentro del juego, a través del sonido captado por el micrófono de los jugadores.

4. Collection #1 al #5

El 17 de enero, el experto en seguridad informática Troy Hunt sacaba a la luz una gigantesca filtración de datos. Denominada Collection #1, en esta brecha de datos 773 millones de direcciones de correo electrónico y más de 20 millones de contraseñas fueron filtradas.

Unos días después, se filtraron otras cuatro carpetas como parte de la misma recopilación de datos personales. 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas han sido expuestas en esta nueva entrega.

Estas llevaban por nombre Collection#2, Collection#3, Collection#4 y Collection#5 y en total tienen un tamaño de 993.36 GB.

3. Amadeus

A mediados de enero de 2019, los datos de millones de pasajeros de avión se vieron expuestos por una brecha de seguridad en Amadeus, proveedora de soluciones tecnológicas en la industria turística. 141 aerolíneas de todo el mundo pudieron estar afectadas.

2. Ciberataque en Alemania

A principios de enero, Alemania admitía que había sufrido el mayor «hackeo» de su historia. Centenares de datos personales de políticos (incluyendo a la canciller, Angela Merkel) se publicaron en una cuenta de Twitter. Teléfonos, direcciones o datos de tarjetas de crédito fueron algunos de los datos que se filtraron. Pocos días después, un estudiante alemán de 20 años confesó ser el autor del ciberataque.

1. Chromecast de Google

El 2019 empezó con la noticia de que miles de dispositivos Chromecast de Google habían sido atacados para publicar vídeos sin el consentimiento de los usuarios. Los responsables del ataque aprovecharon una vulnerabilidad en los Chromecast para promocionar al youtuber PewDiePie.

¿Están tus datos entre ellos?

Si quieres comprobar si alguno de tus datos ha sido filtrado en una de estas brechas de seguridad (y deberías hacerlo) puedes acudir a servicios como https://haveibeenpwned.com/

Se trata de una web con una enorme base de datos de cuentas filtradas, que al poner tu correo electrónico te dirá si este ha sido expuesto en alguna de las filtraciones (conocidas, eso sí).

Deja un comentario