La seguridad de la información ha sido uno de los temas estrella durante la última década. Los acontecimientos relacionados con los ciberataques, las brechas de datos personales y los ataques informáticos a empresas o instituciones han pasado de ser noticias puntuales a titulares de los periódicos casi a diario. En todo el mundo, y también en España, que se encuentra en el top 10 de países afectados por software de robo de contraseñas, las amenazas a la seguridad online siguen creciendo.
1. Wikileaks: Noviembre 2010
WikiLeaks, creada en 2006 por el australiano Julián Assange, ganó popularidad en 2010 cuando se publicaron 251.287 telegramas diplomáticos, intercambiados entre más de 250 embajadas de los Estados Unidos y el Departamento de Estado de los Estados Unidos en Washington. De los aproximadamente 250.000 documentos revelados por el sitio web de WikiLeaks, hay 55.000 cables emitidos desde España o dirigidos a las delegaciones de Estados Unidos en nuestro país. Y casi 40.000 más que mencionan a España en comunicaciones entre terceras partes.
2. Sony PlayStation Network: Abril 2011
En esta brecha de datos resultaron comprometidos los nombres, correos electrónicos, datos de acceso y otros datos personales de unos 77 millones de personas con cuenta en PlayStation Network (el servicio de PlayStation que permite la compra de juegos online), y este servicio dejó de funcionar durante una semana. En ese momento, la empresa japonesa no descartó la posibilidad de que los datos bancarios de los usuarios hubieran sido robados.
3. Dropbox: Agosto 2012
El ataque tuvo lugar en 2012, pero la magnitud de este se conoció cuatro años más tarde. En 2012, Dropbox (servicio de almacenamiento de datos en la nube) confirmó que los correos electrónicos de los usuarios habían sido expuestos, pero fue en 2016 cuando Leakbase descubrió que también habían sido robadas las contraseñas. En total, más de 68 millones de usuarios se vieron afectados. Los cibercriminales pudieron entrar en estas cuentas porque uno de los empleados de Dropbox usó su contraseña profesional en LinkedIn – cuando a principios de ese año LinkedIn sufrió un ataque, los hackers tuvieron acceso a la contraseña del empleado y la usaron para acceder a la red interna de Dropbox.
4. Target: Diciembre 2013
El gigante estadounidense de venta minorista Target fue objeto de un ataque histórico en 2013 que afectó a 70 millones de clientes. Además del robo de información personal (nombres, direcciones, números de teléfono y correos electrónicos), hubo al menos 40 millones de víctimas que también vieron cómo les robaban sus datos bancarios. Los cibercriminales hackearon el sistema de Target a través de un malware PoS, que afecta a los dispositivos del punto de venta – en este caso, lectores de tarjetas de crédito/débito y cajas registradoras. El ataque adquirió proporciones aún mayores al estar diseñado para la temporada de compras previas a la Navidad, entre el 27 de noviembre y el 15 de diciembre.
5. eBay: Mayo 2014
En mayo de 2014, eBay emitió un comunicado en el que pedía a sus 145 millones de usuarios que cambiaran su contraseña tras descubrir que su red había sido objeto de un ciberataque. Los piratas informáticos pudieron entrar en el sistema de la empresa mediante el acceso no autorizado a las contraseñas de algunos empleados, y se hicieron con nombres de clientes, contraseñas cifradas, correos electrónicos, direcciones, números de teléfono y fechas de nacimiento. eBay fue muy criticado por el tiempo que tardó en notificar a sus clientes el incidente, que tuvo lugar entre febrero y marzo de 2014.
6. Elecciones en los Estados Unidos: Diciembre 2015
La información de 191 millones de votantes estadounidenses, alrededor del 60% de la población, fue expuesta en Internet debido al error de una empresa de marketing contratada por el Comité Nacional Republicano durante la campaña de Donald Trump. Esto hizo que los registros de los votantes, incluyendo nombres, direcciones, números de teléfono, fechas, afiliaciones a partidos, fechas de nacimiento, incluso religión y posicionamiento en temas controvertidos, fueran accesibles en la web.
7. Friend Finder: Noviembre 2016
El caso se hizo público por LeakedSource, que lo clasificó en su momento como el mayor robo de datos de la historia. Más de 412 millones de cuentas en la red de sitios para adultos y pornografía Friend Finder fueron expuestas en el mercado negro, incluyendo correos electrónicos y contraseñas. Como estos datos estaban asociados a sitios de contenido para adultos, el impacto del ataque también implicó la extorsión y vergüenza de los usuarios implicados.
8. Uber: Noviembre 2017
La noticia destacó en los medios de comunicación, no sólo por el número de víctimas afectadas, 57 millones, sino también porque Uber pagó cien mil dólares a dos hackers para eliminar los datos robados y ocultar el ciberataque, manteniéndolo en secreto. El ataque tuvo lugar en octubre de 2016 -un año antes de su publicación- e incluyó la exposición de nombres, correos electrónicos y números de teléfono de 57 millones de clientes en todo el mundo, así como la información personal de 7 millones de conductores de esa empresa de transporte.
9. Cambridge Analytica: Marzo 2018
¿Quién dijo que los ataques informáticos son sólo para “extorsionar” dinero o revelar información confidencial? En 2018, Cambridge Analytica mostró al mundo cómo el robo de datos puede ser usado en política: en este caso, para influir en las elecciones presidenciales de EE.UU. en 2016. Cambridge Analytica – una empresa de análisis de datos que trabajó con el equipo de Donald Trump – utilizó sin consentimiento la información de 50 millones de perfiles de Facebook para identificar los patrones de comportamiento y gustos de los usuarios y utilizarlos en la difusión de propaganda política.
10. Facebook: Marzo 2019
Un año después del escándalo de Cambridge Analytica, Facebook se vio involucrado una vez más en un caso de exposición de datos. Cerca de 419 millones de números de teléfono y de identificación de usuario en Facebook fueron almacenados en un servidor online que no estaba protegido por contraseña. Aunque no son tan sensibles como los datos financieros, los números de teléfono pueden ser utilizados por los hackers para spam, phishing o fraudes asociados a la tarjeta SIM. Los Estados Unidos, el Reino Unido y Vietnam fueron los países más afectados.