Si hackean mi cuenta, ¿el banco está obligado a responder?
Tabla de contenido:
Un grupo de investigadores llamado Goatse Security detectó un error en esta herramienta y creó un script que generó aleatoriamente y entregó números ICC-ID al sitio. Recibieron más de 114,000 direcciones de correo electrónico, incluidas las del Jefe de Gabinete de la Casa Blanca Rahm Emanuel, el Alcalde de Nueva York Michael Bloomberg y otros propietarios de iPad de alto perfil. Goatse Security no se comunicó primero con AT & T, pero sí esperaron hasta que la compañía cambió el sitio antes de proporcionar las direcciones de correo electrónico y los números de serie a un editor de Gawker.com, quien luego reveló el error.
¿Deberían esas filtraciones aparentemente triviales ser sujeto a las leyes actuales de notificación de violación de datos Y si es así, ¿qué tan grave es la amenaza de robo de identidad cuando un atacante obtiene una dirección de correo electrónico y un número de serie?
[Lectura adicional: Cómo eliminar el malware de su PC con Windows]¿Incumplimiento? ¿Qué infracción?
Según la ley actual, AT & T no tenía que revelar la exposición de las direcciones de correo electrónico o los números de serie. Dorothy Attwood, directora de privacidad de AT & T, reclamó en una disculpa a los clientes de iPad 3G que Goatse "realizó deliberadamente grandes esfuerzos con un programa aleatorio para extraer posibles ICC-ID y capturar las direcciones de correo electrónico de los clientes". Attwood también hizo hincapié en que el sitio web de AT & T no llevaba directamente a información financiera o personal.
Si bien una dirección de correo electrónico expuesta podría atraer más correo no deseado, el ICC-ID en sí mismo debería ser inútil. Sin embargo, hablando en SOURCE Boston en abril, Nick DePetrillo y Don A. Bailey mostraron cómo los identificadores ICC como los empleados por AT & T pueden usarse para adivinar el número más importante de IMSI (Identidad de Suscriptor Móvil Internacional) para cada propietario de cuenta. Aunque fue específico para atacar la red de telefonía móvil GSM, las pláticas de DePetrillo y Bailey (ver el PDF de su presentación) mostraron cómo las IMSI podrían ayudar a revelar la identidad del dueño de la cuenta y otra información.
Leyes de notificación
As de abril, 46 estados y tres territorios de EE. UU. tienen leyes para notificar a los consumidores cuya información puede haber sido comprometida en violaciones de datos, de acuerdo con la Conferencia Nacional de Legislaturas Estatales. (Ninguna cubre específicamente las filtraciones de datos de la tarjeta SIM.) Alabama, Kentucky, Nuevo México y Dakota del Sur aún no cuentan con tales leyes de notificación de incumplimiento de datos. No existe una ley de notificación federal, pero una puede estar en proceso. Una ley federal específica para violaciones de datos de atención médica (ver PDF) se hizo realidad como parte de la Ley de Recuperación y Reinversión de 2009.
La mayoría de las leyes estatales reflejan la ley SB1386 de 2003, en California, donde se define "información personal" como nombre y apellido, más cualquier combinación de un número de seguro social, licencia de conducir, número de cuenta o número de tarjeta de crédito o débito con una contraseña o código de seguridad. Las filtraciones de datos personales no cifrados deben divulgarse a menos que se realice una investigación policial (en cuyo caso la divulgación puede retrasarse). Los datos encriptados están exentos.
Una revisión pendiente de 2010 de la ley de California, SB1166, incluye mejoras que otros estados han realizado, como una descripción del evento de violación de datos en la carta de notificación, una copia de la cual debe ir al Procuraduría General.
Arm Thyself
Si bien la ley actualmente se está poniendo al día, los consumidores pueden tomar medidas por sí mismos. La Comisión Federal de Comercio tiene un sitio informativo que le informa cómo protegerse contra el robo de identidad, así como los pasos a seguir si se convierte en víctima.
Además, la Ley de Transacciones de Crédito Justas y Precisas de 2003 les permite a los consumidores obtener un informe de crédito gratis de cada una de las tres oficinas de crédito anualmente. Los expertos aconsejan escribir a una agencia de crédito diferente cada cuatro meses para que en el transcurso del año obtenga los tres informes. A veces los tres informes tienen discrepancias; FACTA facilita a los consumidores la resolución de errores.
FACTA también introdujo una serie de herramientas de crédito al consumidor. Una es una alerta de fraude que requiere que cualquier persona que realice una consulta o cambie su informe de crédito lo contacte primero. La solicitud de alerta debe actualizarse cada 90 días; Si ha sido víctima de un robo de identidad, puede presentar un informe policial y obtener una alerta de fraude extendida que es válida durante siete años.
Una congelación de crédito, una medida más drástica, impide que cualquiera pueda acceder a su informe de crédito sin tu descongelamiento. Hay una tarifa para congelar y descongelar su informe de crédito; algunos estados renuncian al costo de la congelación si usted ha sido víctima de un robo de identidad y puede documentar el evento. El sitio de FTC tiene información sobre cómo obtener alertas y congelaciones.
Ninguna de las dos herramientas le impide obtener una copia gratuita de su informe de crédito. Las compañías hipotecarias y otros que actualmente hacen negocios con usted retienen el acceso a su historial crediticio; solo las nuevas consultas se detienen en seco. Estas medidas no detendrán el robo de identidad en curso, ni impedirán la creación de una nueva cuenta, ya que algunas cuentas nuevas no requieren una verificación de crédito.
Aunque estas herramientas y leyes fueron diseñadas para abordar infracciones de datos relacionadas con el crédito, los datos personales son ahora se está filtrando en formas nuevas y diferentes. Si los delincuentes pueden adivinar cómo los operadores de telefonía móvil están asociando la información de la cuenta de los usuarios con los números de serie, quizás sean necesarias nuevas y mejores definiciones de lo que califica como una violación de datos. La lección aquí es que ninguna fuga es demasiado pequeña para causar dolores de cabeza más tarde.
Asociación de LinkedIn y Twitter: lo que se debe y lo que no se debe hacer
¡Mire mejor sus tweets! Una asociación entre Linkedin y Twitter ahora permite que sus tweets aparezcan junto a su perfil de Linkedin.
Peligros de los juguetes inteligentes o conectados a Internet que debe tener en cuenta
Los juguetes conectados a Internet a menudo contienen varias funciones inteligentes que podría revelar información personal importante poniendo en riesgo su seguridad y privacidad.
Lo que se debe y no se debe hacer para explorar la red oscura con tor
¿Quieres saber cómo explorar Dark Web o Deep Web? Aquí está nuestra guía rápida junto con simples cosas para hacer y no hacer que debe tener en cuenta.