El verdadero costo de la identidad
06 January, 2015
category: Seguridad en Internet
Desde los comerciantes hasta el mercado negro, la información personal es una mercancía valiosa
Por Autumn Cafiero Giusti, editor colaborador, AVISIAN Publications
Todo el mundo quiere un trozo de ti.
Desde los hackers que violan los datos de las corporaciones comerciales gigantes hasta los sitios de medios sociales que venden tu información, la identidad es indudablemente un producto codiciado.
Los diversos aspectos de una identidad tienen diferentes valores para diferentes personas. Los números de seguridad social y los datos de la tarjeta de crédito serán muy valiosos para alguien del mercado negro, mientras que los comerciantes minoristas quieren analizar lo que te gusta en Facebook, tus hábitos de compra y la información demográfica. “En general parece que depende de lo que se quiera obtener”, señala Kevin Haley, director de respuestas de seguridad para el gigante de software Symantec Corp.
Todo el que participa en identidad comparte el mismo objetivo final: hacer dinero. La diferencia es que el mercado negro busca información privada de identidad que pueda ayudar a robar dinero, mientras que los minoristas buscan incrementar las ventas aprovechando la información que los individuos comparten sobre sí mismos.
Los sitios de medios sociales han sacado provecho de la venta de datos de los usuarios, lo que los críticos consideran como una clara invasión de la privacidad. Especialistas en analítica plantean que hay una diferencia entre los datos que se obtienen de manera legítima sobre los productos del mercado, y la información de identificación personal que los delincuentes sustraen con propósitos criminales.
“El negocio de analizar datos tiene valor desde una perspectiva monetaria, pero también es valioso para el público en general porque la experiencia va a ser mucho más personalizada”, explica Steven Ramírez, director general de Beyond the Arc, una firma consultora especializada en analítica.
Grandes datos, gran valor
Es la vieja estrategia de Amazon de “Si te gusta esto, te gustará lo otro”. Los minoristas y sus especialistas en analítica de datos aplican esa estrategia con el objetivo de hacer que el mundo del consumidor esté completamente personalizado, señala Joe Caserta, director general de la firma Caserta Concepts, especializada en analítica de datos, con sede en Nueva York.
“Cuando navego, quiero que todo el contenido de cada sitio que veo sea 100% específico para mí”, plantea Caserta. “Para que las compañías sean capaces de lograr eso, tienen que conocer la mayor cantidad de información posible sobre mí”.
Esto por supuesto es exceptuando la información de identificación personal que debe mantenerse privada y encriptada. Las compañías de datos solo necesitan las características y patrones de comportamiento de los individuos, no su identidad.
“No necesitan saber que Joe Caserta está realizando esa actividad. Solo necesitan saber que alguien con las características de Joe Caserta está realizando esa actividad”, explica.
Esa información puede incluir características sobre la persona – en el caso de Caserta, que es un tecnólogo y propietario de negocios de mediana edad y raza blanca – y todo lo relativo a los patrones de comportamiento y compras asociados con esa persona a través del uso de tarjeta de pago y medios sociales. Los analistas entonces compilan esa información para crear un perfil de consumidor. “Eso es increíblemente valioso”, dice Caserta.
Los críticos de Grandes Datos dicen que hay un factor Gran Hermano en tener una presencia invisible que controla qué tiendas y sitios web uno visita, y momentos después presenta anuncios publicitarios personalizados.
Caserta afirma que eso no evitará que la gente reciba el mensaje. Recuerda un momento en que pidió una botella de vino en un restaurant y al día siguiente recibió un correo electrónico de un mercader de vinos anunciando una venta de esa misma botella de vino. “¿Espeluznante? Sí. ¿Efectivo? Sí, fui a comprarla”, comenta.
Siempre está el riesgo de perder consumidores cuando se recogen datos. Ramírez dice que si las compañías no son cuidadosas en cómo venden los datos, pueden romper una relación de toda una vida con el cliente.
Los ladrones combinan los datos
Del mismo modo que los comerciantes minoristas van encontrando formas nuevas e innovadoras para extraer y monetizar los datos, los delincuentes hacen lo mismo y encuentran valor en más piezas de información que nunca antes. Los ladrones modernos incluso no tienen que hacer demasiado esfuerzo, ya que las personas dejan su información desprotegida. El informe de 2014 de Symantec sobre las amenazas de seguridad en Internet detalla las causas de las violaciones de datos en el 2013:
- 34% fueron debido a hackers
- 29% a causa de información que se hizo pública accidentalmente
- 27% por robo o pérdida de una computadora o disco.
La movida clásica del hacker es robar los números de tarjeta de crédito para venderlos, y la persona que los compra utiliza esos números hasta que ya no funcionen. Alternativamente, los delincuentes pueden robar los datos y contraseñas para inicio de sesión en las cuentas bancarias y después comenzar a transferir dinero. Los estafadores actuales son expertos en encontrar vías para explotar los datos que acumulan, señala Ramírez. Unen los fragmentos de información como un rompecabezas. “Se esfuerzan por encontrar métodos para unificar datos de diferentes fuentes y crear perfiles más valiosos”, explica Ramírez. Pese a que la gente le teme al robo de identidad, inconscientemente toman riesgos con algunas de sus piezas de información más esenciales, dice Caserta. Poca gente lo piensa dos veces para darle a un camarero su tarjeta de crédito con una firma y un código de seguridad. “La mayoría asumen eso perfectamente bien”, dice. “Sin embargo, muchos temen situar una tarjeta de crédito en un sitio web seguro y encriptado”. Los servicios financieros en línea son uno de los mercados más aceptados por el público en general, y aún así es uno de los más riesgosos, plantea Caseta. “Esa es la información más sensible que puede tener uno en línea. Y esa es precisamente la más popular”, dice. Caserta, cuya compañía trabaja con una serie de instituciones financieras, observa que los datos en los servidores y bases de datos de los bancos están bien protegidos. Lo que pone en riesgo la información financiera del usuario es su selección y manejo de los nombres de usuario y contraseñas.
Valor de la identidad en el mercado negro
Hace pocos años Symantec desarrolló una herramienta en línea que calculaba un estimado de lo que valdría la identidad de uno en el mercado negro. En dependencia de factores tales como edad, género y el volumen de datos de cuenta en línea, las respuestas estaban típicamente en el rango de $20 a $30. Haley dice que unas pocas cosas han cambiado desde que Symantec recopiló esa información y como resultado, el valor de ciertas porciones de datos pueden variar según quién venda qué. “Los chicos malos se han hecho más sofisticados”, explica. El mercado negro consta de compradores y vendedores con variados niveles de sofisticación. “El precio depende de la reputación del vendedor y del valor percibido de los datos”, observa Haley, y añade que los hackers de gama baja suelen ser artistas de la estafa y pueden encontrarse a través de Google. Sus contrapartes de gama alta se reúnen en foros exclusivos, en los que uno necesita una recomendación de un miembro para obtener acceso. Usan sistemas similares a los que podría uno encontrar en eBay, con rankings para los compradores y vendedores listados. Los precios pueden depender del tiempo que demora en cerrarse una tarjeta de crédito. Los datos de tarjetas robados a Target el año pasado son mucho menos valiosos ahora de lo que fueron en el momento de la violación. “El valor baja casi diariamente”, señala Haley. Y como en cualquier otra cosa, la oferta y la demanda influyen en el costo. Si un montón de números de tarjetas de crédito robadas fluyen al mercado, el costo de esos números es menor, dice Haley.
La información más codiciada
Las piezas de información de identidad más buscadas son aquellas que pueden ayudar al delincuente a realizar una transacción financiera a nombre de alguien. Para los hackers, estas son el nombre, la fecha de nacimiento y el número de seguridad social. En 2013, esos fueron los tres principales tipos de información hackeadas, según informe de Symantec. “Esa información es todo lo que hace falta para el robo de la identidad. Se utiliza para configurar tarjetas de crédito, entrar a cuentas bancarias y hacer muchas otras cosas”, señala Haley. Un ladrón puede obtener un gran valor al robar información de tarjeta de crédito, pero es cosa de una sola vez y ya después se acaba, explica Haley. “Una tarjeta de crédito es muy fácil de reponer. Es muy difícil cambiar la fecha de nacimiento o el número de seguridad social”, señala. Otras piezas de información valiosas pueden ser el nombre de soltera de la madre, cuál fue el lugar de luna de miel o una película favorita. Todos esos detalles pueden ser parte de la respuesta a una pregunta de seguridad, apunta Kayvan Alikhani, director de tecnología de RSA, la división de seguridad con base en Bedford, Massachussets, de la firma de almacenamiento de datos EMC Corp. “Actualmente se venden a la carta por $4 o $5 cada pieza de información”, dice. Alikhani explica que la información de tarjetas de crédito ya no vale tanto porque han sido muy comprometidas y hackeadas. Hoy día los números de tarjeta valen aproximadamente $5 cada uno, y en el precio final influye el límite de crédito y el saldo del titular, explica.
Valor para los víctimas del robo
Los bancos y las compañías de tarjetas de crédito pueden cubrir buena parte de las pérdidas que sufre una persona a causa de un robo de identidad, pero no pueden dedicar todo el tiempo y energía que toma descubrir y corregir esos problemas. “La ansiedad que causan es tremenda. Son cosas que pueden realmente alterar la vida de la gente”, comenta Haley. Para el usuario, el valor de su identidad pueden estar en la magnitud de $5,000 debido a la cantidad de tiempo que toma arreglar un asunto de robo de identidad, señala Alikhani de RSA. Por la parte corporativa, la combinación de diferentes porciones de información de identidad es de mucho más valor que la identidad de un individuo, porque incluye no solamente usuarios específicos, sino también las autorizaciones que emplea cada persona. “Puede causar estragos de una escala mucho mayor en una compañía. Se convierte en algo mucho más importante la protección de las piezas de información”, señala Alikhani. Si una compañía pierde información por causa de los hackers, el negocio puede estar a merced de cualquier transacción fraudulenta. También está el riesgo para la reputación y el daño para la marca, como ocurrió con Target el año pasado. “Menos personas han comprado en Target como resultado del golpe asestado a su reputación y a su marca”, observa Ramírez.
Defensa multifactor de la identidad
Expertos de datos y seguridad suelen afirmar que la conciencia del consumidor es la mejor táctica para proteger la identidad. Pero Caserta asegura que también juegan un papel los propios datos del consumidor. El es de la opinión que la analítica de Grandes Datos ayuda a evitar el robo de identidad. Caserta cita lo que le ocurrió a él recientemente cuando realizó una transacción de tarjeta de crédito en un estado diferente en un horario poco común. Cuando estaba de pie en la caja realizando el pago, recibió una llamada de la división de protección contra el fraude de su tarjeta de crédito. “Eso es 100% resultado de la analítica de Grandes Datos. Ellos conocen todos mis hábitos de compra, a qué horas compro, y en cuanto algo se aleja de mi comportamiento habitual, me notifican”, explica. Caserta comenta que quisiera ver más innovaciones para evitar el fraude y añade que hasta el 90% de todos los inicios de sesión consisten en una identificación de usuario y una contraseña. “Eso no es suficiente”, plantea y añade: “Si realmente queremos demostrar que es Joe Caserta quien se encuentra ante el teclado, hay formas mucho más avanzadas de hacerlo”. Alikhani dice que las formas multifactor de autenticación levantan más la barrera, de modo que los hackers que tienen información sobre uno, no pueden suplantar la identidad. Con el alcance de información que está ahora disponible para los delincuentes, proteger la identidad en la edad moderna es más bien un asunto de defensa, señala. “Uno debe asumir que su identidad ya está comprometida y expuesta”, opina.