Hace seis meses, entró en vigor el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y amenazó a empresas de todo el mundo con grandes multas si no protegían los datos de los clientes de manera adecuada. Recientes investigaciones sugieren que la medida está teniendo un impacto en Europa, pero no tanto en los usuarios web de Estados Unidos.
La información personal de donantes de caridad estadounidenses, simpatizantes de partidos políticos y compradores en línea se ha seguido filtrando silenciosamente a internet como resultado de las deficientes prácticas de seguridad de los sitios web, según muestra una investigación reciente. Uno de cada cinco sitios de comercio electrónico en EE.UU. todavía deja a sus clientes expuestos, indicó el lunes la compañía de marketing de búsqueda con sede en Nueva York Seer Interactive.
Al realizar simples búsquedas en Google, similares a los métodos examinados por Seer, Bloomberg pudo acceder a información confidencial de usuarios desde una amplia gama de sitios web estadounidenses elegidos al azar.
En un caso, el sitio web del Hospital de Investigación para Niños St. Jude había hecho público el recibo de una donación de cientos de dólares, incluido el nombre completo y la dirección del donante, su método y fecha de pago y su correo electrónico.
Bloomberg pudo encontrar datos similares en formato PDF relacionados con compras de artículos deportivos en Pine Hills Golf Club, en Ohio, que incluían nombres completos, domicilios y detalles de correo electrónico, así como números de referencia para la compra de la persona.
En otro caso, Bloomberg pudo acceder a direcciones de correo electrónico asociadas con suscripciones a boletines informativos sobre el cáncer y el VIH en el sitio web Medscape, de WebMD Health Corp. Se concluyó que CVS Health Corp. estaba revelando las direcciones de correo electrónico de sunoscriptores a sus boletines.
En otro caso más, se podía ver en una URL indexada por Google el nombre completo y los detalles de una persona que completó una encuesta en la página de donación del sitio web del presidente de EE.UU., Donald Trump.
Estos ejemplos se descubrieron al solicitar resultados para términos como "nombre de pila", "imprimir" o "@gmail.com" y restringir las consultas a subdominios en las direcciones web de compañías, como "shop.companyname.com". (Para proteger a los usuarios afectados, Bloomberg no publicará las URL específicas que descubrió que exponen datos).
La vulnerabilidad puede ser causada por una serie de errores básicos, uno de los cuales es que si un sitio web permite que un usuario comparta una transacción en las redes sociales –como promover una donación benéfica– un motor de búsqueda puede ver su publicación, y desde allí, indexar la página web original, ya sea que el usuario sepa esto o no. Sin ninguna protección de seguridad establecida, estas páginas están disponibles para cualquiera.
Otra explicación es que cuando un operador de un sitio web crea un índice de páginas en su servidor para entregar a Google, conocido como "mapa del sitio", pueden incluirse accidentalmente páginas que solo deberían ser visibles por un cliente.
Si bien en forma individual los datos pueden parecer inofensivos, en manos de un ciberdelincuente pueden ser utilizados de manera fraudulenta, dijo Adam Melson, director de Seer Interactive.
Michela Menting, directora de investigación de seguridad digital de ABI Research, dijo que con frecuencia ocurren filtraciones de datos accidentales de bajo nivel, pero que estas pueden ser "un problema tan grande como una gran violación de datos, simplemente porque ocurre en una escala mucho más amplia y de forma continua".
Estas filtraciones de datos de bajo nivel representan un tipo de error básico que empresas, tanto grandes como pequeñas, han estado cometiendo durante años.
Julian Saunders, máximo ejecutivo del servicio de gestión de datos personales Port, dijo que filtraciones de tan bajo nivel eran la razón por la cual se requería la legislación GDPR de Europa. La ley obliga a las empresas a tomar precauciones técnicas, como el cifrado, para garantizar que todos los datos de los clientes estén protegidos.
También establece que las empresas deben notificar a las autoridades sobre infracciones dentro de las 72 horas posteriores a su conocimiento. Las violaciones de las normas de GDPR pueden llevar a multas de hasta el 4% de las ventas anuales globales de una empresa.