Las filtraciones masivas de información se han transformado en una amenaza constante.
El hecho de que
entidades estatales y corporaciones internacionales presenten fallas de
seguridad que comprometen los datos privados de millones de personas genera
dudas urgentes sobre la solvencia de los protocolos de protección vigentes y el
rol que deben asumir las instituciones frente a estos riesgos.
De esta manera, no
podemos hacernos los desentendidos: con frecuencia leemos sobre filtraciones
masivas que afectan a corporaciones globales y entidades gubernamentales, las
cuales reportan la pérdida de millones de registros de usuarios. Esta
vulnerabilidad representa un riesgo latente para la privacidad individual.
"Cuando los
cibercriminales logran vulnerar los sistemas, una de sus formas de extorsión es
amenazarlas con filtrar la información que obtienen, la cual incluye
credenciales de acceso y/o información sensible como es la médica y bancaria. Y
en Chile ya han ocurrido muchos casos", explica André Goujon, CEO de
Lockbits.
La gravedad de estas
filtraciones radica en que los datos obtenidos suelen terminar en foros
especializados o en la "dark web", donde son vendidos al mejor postor
para cometer fraudes de identidad o ataques dirigidos de phishing.
De hecho, recientemente se
conoció en el país una posible filtración de datos del sistema de ClaveÚnica,
lo que generó una recomendación importante por parte de las autoridades y
expertos: cambiar la contraseña de forma preventiva.
La ClaveÚnica es la llave
maestra para interactuar con el Estado, permitiendo el acceso a trámites
sensibles en el Registro Civil, el Servicio de Impuestos Internos y sistemas de
salud. Una brecha en este sistema no solo compromete la privacidad, sino que
facilita la suplantación de identidad a gran escala.
La sugerencia de actualizar
las credenciales busca mitigar el riesgo de ataques de "credential
stuffing", donde los atacantes utilizan contraseñas filtradas para
intentar acceder a otras cuentas de la misma persona. Dada la interconexión de
servicios, mantener contraseñas robustas y únicas para cada plataforma es hoy
una medida de higiene digital básica e imprescindible.
“Hemos conocido casos
recientes donde se han comprometido cuentas de Clave Única, permitiendo al
ciberatacante entrar fácilmente al sistema. Así, se ha comprobado la fragilidad
que tiene, ya que solo requiere el número de serie del documento de identidad y
la contraseña para modificar clave y datos de recuperación, careciendo de un
segundo factor de autenticación, como un código SMS, por ejemplo, a diferencia
de los estándares de seguridad bancarios”, recalca Goujon.
Esta vulnerabilidad técnica se
agrava debido a que el número de serie del carnet es un dato que circula con
frecuencia en trámites cotidianos, perdiendo su carácter de secreto. Al no
existir una capa adicional de validación biométrica o digital dinámica,
cualquier filtración de bases de datos que asocie RUTs con sus respectivos
números de serie deja la puerta abierta para que actores malintencionados
realicen gestiones fraudulentas en plataformas gubernamentales críticas.
Otra de las dificultades
que ocurren es que el sistema de Clave Única no cuenta con un call center 24/7,
lo que se transforma en una segunda vulnerabilidad crítica, ya que el
cibercriminal maneja esa información, permitiéndole aumentar no solo la eficacia,
sino también el daño, dejando poco margen de movimiento y de recuperación para
la víctima, especialmente cuando los ataques ocurren fuera del horario
administrativo.
“Es imperativo que el Estado
chileno evolucione y acelere hacia modelos de identidad digital descentralizada
y robustezca la autenticación mediante multifactor para garantizar que la
administración pública y los datos sensibles de los ciudadanos permanezcan
protegidos”, explica Goujon.
En esa línea, además de
informar debidamente a las personas si sus datos fueron comprometidos en una
filtración, es cada vez más importante bloquear preventivamente el acceso para
que el usuario pueda nuevamente ingresar una contraseña.
“Esta medida busca evitar que
la responsabilidad de la seguridad recaiga exclusivamente en el ciudadano,
quien muchas veces no tiene las competencias digitales para dimensionar el
riesgo. Al forzar un cambio de credenciales ante una vulnerabilidad confirmada,
las instituciones adoptan una postura proactiva que mitiga riesgos y garantizan
que la higiene digital sea una norma institucional y no una opción del
usuario”, menciona Goujon.
Hoy no basta con comunicar, ya que no toda la población tiene el mismo nivel de educación digital o acceso constante a canales de información oficiales.
“Por ello, el robustecimiento de los sistemas debe ir acompañado de un soporte técnico 24/7 y la implementación de factores de autenticación adicionales, como códigos SMS o biometría, superando la actual dependencia de datos estáticos como el número de serie del carné de identidad, el cual ya se encuentra ampliamente expuesto en diversas bases de datos”, sentencia Goujon.


.jpg)
%20(1).jpg)
.jpg)