Investigadores exhiben fallas de seguridad en números de seguridad social

¿Ha publicado su fecha de nacimiento y lugar de nacimiento en alguna de sus redes sociales? Si es así, es posible que haya proporcionado suficiente información para que los piratas informáticos descubran su número de Seguridad Social. Bueno, en teoría, de todos modos. Investigadores de la Universidad Carnegie Mellon han ideado con éxito una forma de adivinar el número de seguridad social de una persona mediante análisis estadístico. Los investigadores de Carnegie Mellon Alessandro Acquisti y Ralph Gross dicen que el sistema de numeración de la Seguridad Social combinado con el uso generalizado de SSN como número de identificación creó una "arquitectura de vulnerabilidad" y es una consecuencia inesperada de la disponibilidad de información personal básica y poder de cómputo moderno. El estudio se presentará el 29 de julio en la conferencia de seguridad Black Hat de este año en Las Vegas.

Acquisti y Gross determinaron que el problema radica en cómo se construyen los números de la Seguridad Social. Cada S.S.N. tiene tres partes: número de área (AN); número de grupo (GN); número de serie (SN). Los tres componentes se pueden predecir en función de la ubicación probable de su residencia en el momento en que su S.S.N. fue solicitado. Esto es posible ya que la secuencia de AN y GN para cada estado está disponible públicamente en línea, y los SN se asignan en orden consecutivo.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los investigadores probaron su teoría de adivinar los SSN contra el archivo maestro de muertes de las Administraciones de Seguridad Social. El DMF es una base de datos disponible públicamente que enumera los números de seguridad social de las personas fallecidas.

Si bien la tasa de éxito para predecir SSN fue relativamente baja, los investigadores pudieron adivinar correctamente las cifras en todo el país para las personas nacidas antes de 1989, 0.08 por ciento del tiempo en menos de cien intentos.

Los números más simples para predecir, sin embargo, fueron aquellos asignados en estados más pequeños y para personas nacidas después de 1988. La razón es que a partir de 1989, los números de Seguridad Social se asignaron de acuerdo con la enumeración en Iniciativa de nacimiento, donde las personas recibieron su número de seguridad social al nacer. El EAB aumentó las posibilidades de identificar un S.S.N. dramáticamente, ya que el lugar de nacimiento y el lugar de una persona en el momento en que se solicitó el S.S.N tenían la garantía de ser idénticos. Además, una población estatal más pequeña reduce automáticamente el número de SSN disponibles, lo que hace que sea más probable una suposición correcta.

Un descubrimiento sorprendente fue que los investigadores de Carnegie Mellon pudieron identificar uno de los 20 SSN completos en menos de diez intentos. para las personas nacidas en Delaware en 1996. Los investigadores también descubrieron que podían identificar correctamente los primeros cinco dígitos de un SSN de cualquiera en un solo intento el 44 por ciento del tiempo para individuos nacidos entre 1989 y 2003.

A pesar de sus resultados, Acquisti y Gross advierten que su método de captura de S.S.N.s solo podría ser imitado por hackers sofisticados. En uno de estos escenarios, los investigadores discuten cómo los delincuentes con el algoritmo correcto para adivinar S.S.N.s para hombres nacidos en West Virigina en 1991 y una botnet alquilada que contiene al menos 10,000 direcciones IP (computadoras zombie) podrían obtener con éxito el S.S.N. de hasta 47 personas por minuto. Las circunstancias tendrían que ser ideales y funcionar según una amplia gama de variables presentadas por Acquisti y Gross, pero la investigación sugiere que la recolección de identidad a gran escala sería posible con solo dos piezas de información personal básica.

Soluciones

Ilustración: Stuart Bradford Entonces, ¿cuál es la respuesta ahora que el SSN defecto ha sido probado? Acquisti y Gross argumentan que la tradición de usar su S.S.N. como un número de identificación personal para transacciones privadas, como abrir una cuenta bancaria o registrarse con un proveedor de telefonía celular debería ser sustituido por un sistema de identificación más seguro.

Usando S.S.N. como un medio para la identificación personal es un procedimiento por el que la Administración de Seguridad Social ha advertido durante años. Sin embargo, el representante de SSA, Mark Lassiter, le dijo a The New York Times que la investigación de Carnegie Mellon no es motivo de alarma. Lassiter dijo que sería una "exageración dramática" sugerir que los investigadores "descifraron un código" para descubrir S.S.N. Lassiter también dijo que la SSA asignará números usando un sistema de aleatorización que comenzará el próximo año.

Si le preocupa proteger su identidad en línea, consulte la "Guía para proteger su identidad en línea" de PC World.

Conéctese con Ian Paul en Twitter (@ianpaul).