Los datos de miles de millones de personas se publicaron en la dark web alrededor del 8 de abril de 2024, a partir de una única vulneración de National Public Data. Sin embargo, muchas de las víctimas aún desconocen su exposición porque aún no han recibido ninguna notificación o declaración de la empresa.
Recientemente, una de las víctimas presentó una demanda colectiva tras enterarse de que sus datos habían sido vulnerados cuando recibió una notificación de un proveedor de servicios de protección contra robo de identidad. ¿Qué significará esto para las personas cuyos datos se vendieron sin saberlo en la dark web?
National Public Data, propiedad de Jerico Pictures, Inc., recopila datos como una empresa de verificación de antecedentes con sede en Florida. Los consumidores incluidos en las bases de datos de National Public Data no dieron su consentimiento para facilitar sus datos a la empresa.
Según la demanda presentada por Christopher Hofmann, un grupo ciberdelincuente llamado USDoD ha publicado en la dark web una base de datos que contiene los datos privados de 2,9 mil millones de ciudadanos estadounidenses, incluidos nombres completos, números de la seguridad social y direcciones. Los datos también incluían información sobre los familiares de las personas. Uno de los aspectos únicos de los datos era la longevidad: las direcciones abarcaban décadas de residencia, y algunos familiares llevaban fallecidos hasta dos décadas.
El grupo de hackers puso un precio de compra en la base de datos de 3,5 millones de dólares. VX-Underground, un sitio educativo centrado en la ciberseguridad, confirmó que la información de la base de datos de 277,1GB era real y precisa tras ser informada por el grupo de su intención de filtrar la base de datos. Dado que National Public Data no está sujeta a los requisitos de CIRCIA para infraestructuras críticas, la empresa no estaba obligada a informar la violación en un plazo de 72 horas.
"Esta PII no cifrada y no redactada se vio comprometida, publicada y luego vendida en la Dark Web, debido a los actos y omisiones negligentes y/o descuidados del demandado y a su total incapacidad para proteger los datos confidenciales de los clientes. Los hackers obtuvieron información de identificación personal (PII) del demandante y los miembros del colectivo debido a su valor para explotar y robar sus identidades. El riesgo presente y continuo para las víctimas de la vulneración de datos se mantendrá durante sus respectivas vidas", afirma la demanda.
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Además de no informar a las víctimas, National Public Data no ha emitido ninguna declaración pública sobre la vulneración. Los Angeles Times informó que la compañía respondió a las consultas por correo electrónico con "Somos conscientes de ciertas afirmaciones de terceros sobre los datos de los consumidores y estamos investigando estos problemas". La demanda menciona la falta de notificación como una de las principales preocupaciones del demandante.
En la demanda, Hofmann solicitó medidas específicas a National Public Data, incluida la concesión de una ayuda monetaria. Solicitó que National Public Data elimine toda la PII violada. Además, quiere que la empresa cifre todos los datos en el futuro, utilice la segmentación de datos, escanee sus bases de datos y lance un programa de gestión de amenazas. Además, le gustaría que se realizara una evaluación anual del marco de ciberseguridad hasta 2034.
Aunque los detalles siguen evolucionando, esta vulneración de datos parece ser la mayor (o una de las mayores) de todos los tiempos. Como la vulneración de Yahoo de 2013 incluyó 3000 millones de cuentas y la violación de datos públicos nacionales parece incluir a 2900 millones de personas, es posible que Yahoo siga manteniendo el récord cuando se calme el polvo por esta última vulneración. Los anteriores segundos y terceros clasificados se moverán al tercer y cuarto lugar después de que esta infracción llegue a los libros de récords. La brecha de River City Media de 2017 afectó a 1370 millones de registros, mientras que la vulneración de Aadhaar de 2018 contenía 1100 millones.
Mientras los expertos predicen la decisión en este asunto, muchos recurren a hechos pasados para comparar. En una demanda similar presentada contra Yahoo, la jueza federal Lucy Koh rechazó el acuerdo de Yahoo para el pago en 2019 a 200 millones de personas afectadas con cerca de 1000 millones de cuentas. Koh rechazó la oferta de liquidación por las siguientes razones:
Los consumidores deben continuar monitorizando la situación actual a medida que evoluciona para saber si sus datos han sido vulnerados. Como precaución, las personas deben controlar cuidadosamente sus informes de crédito y cuentas bancarias y no responder a información no solicitada o solicitudes de cuentas.
"Si este es prácticamente todo el expediente que nos afecta a todos, sin duda es mucho más preocupante que las infracciones anteriores", dijo a Los Angeles Times Teresa Murray, directora de vigilancia del consumidor del Grupo de Investigación de Información Pública de EE. UU. "Y si la gente no tomaba precauciones en el pasado, como debería haber hecho, esto debería ser una llamada de atención de máxima gravedad".
Para saber cómo IBM X-Force puede ayudarle con cualquier cosa relacionada con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programe una reunión aquí.
Si tiene problemas de ciberseguridad o un incidente, contacte con X-Force para obtener ayuda: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.