Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Mis datos personales aparecen en una filtración, ¿qué puedo hacer?

Fecha de publicación 11/10/2021

Cada vez son más los servicios online que utilizamos los usuarios, como las cuentas del banco, el correo electrónico, tiendas online donde nos registramos e ingresamos nuestros datos, redes sociales y muchos más. Estas organizaciones custodian una cantidad enorme de datos personales, y los ciberdelincuentes no cesan en sus intentos de hacerse con ellos.Imagen robo

Como consecuencia, en ocasiones las defensas de estas empresas caen y los atacantes obtienen acceso a toda o parte de esta información, filtrándola para publicarla en la Red u obtener un beneficio económico poniéndola a la venta en el mercado negro. Las organizaciones e instituciones que manejan tus datos tienen una gran cuota de responsabilidad, no solo en la forma en que manejan tus datos, sino también en la de cómo los protegen de los múltiples riesgos existentes.

Pero, ¿qué significa que hayamos sido víctimas de una fuga de datos? Básicamente, lo que ocurre es que nuestros datos son expuestos y filtrados a Internet, donde cualquiera puede tener acceso a ellos y llevar a cabo todo tipo de actividades ilegítimas y fraudulentas. Esta información en manos de un ciberdelincuente puede tener consecuencias muy graves, aunque esto también dependerá del tipo de información filtrada o de la protección adicional de estos datos.

Es decir, no es lo mismo que se filtre nuestro número de teléfono que un correo electrónico secundario, y tampoco es lo mismo que se filtren los archivos que tengamos alojados en la nube si estos están cifrados.

Cómo actuar ante una filtración de datos

Si somos conscientes, por ejemplo, mediante los avisos de INCIBE, de que una empresa o servicio online donde estamos registrados ha sido víctima de un ataque donde se han filtrado datos de sus usuarios, lo primero que debemos hacer es mantener la calma. Puede que se trate de datos antiguos, como un domicilio donde ya no vivimos o un correo electrónico y contraseña distintos al que usamos actualmente. Deberemos seguir los siguientes pasos para asegurarnos y actuar en consecuencia:

  1. Averiguar qué datos han sido comprometidos. Cuando una filtración se hace pública es común que el tipo de datos que han sido filtrados también lo sea, bien porque los atacantes lo han dado a conocer o porque la propia empresa atacada haya realizado un comunicado oficial. En ese momento, deberemos tratar de averiguar cuáles de nuestros datos han podido ser comprometidos.Imagen investiga

    Sin embargo, por seguridad, es mejor que por defecto consideremos comprometido cualquier dato que hayamos podido compartir con la empresa, desde el usuario, la contraseña y el correo electrónico, hasta cualquier otra información, como datos de la tarjeta bancaria, número de teléfono o incluso nuestra dirección personal.

    Hemos de recordar que cualquier usuario tiene derecho a obtener toda la información que una empresa de servicios online tenga sobre nosotros. Es una práctica muy útil para tener control y visibilidad de cuánta información estamos compartiendo. Además, es nuestro derecho como usuarios.

     

  2. Proteger nuestra privacidad. Dependiendo de la información comprometida deberemos actuar de un modo u otro:

    • Contraseñas: con ellas los atacantes pueden acceder a la cuenta afectada y a todas aquellas en las que usemos la misma contraseña. Con este dato, por ejemplo, podrían hacerse pasar por nosotros en redes sociales o realizar compras online a nuestro cargo.

      ¿Qué podemos hacer para reducir el impacto? Si nuestra contraseña ha sido filtrada, es fundamental que la cambiemos y actualicemos. Además, deberemos hacerlo tanto en el servicio que ha sufrido el ataque como en otros donde hayamos utilizado la misma clave o una parecida.

    • Correo electrónico o número de teléfono: los atacantes suelen utilizar esta información para realizar ataques personalizados basados en ingeniería social; por ejemplo, una supuesta llamada telefónica de nuestro banco, solicitándonos información sobre nuestra tarjeta bancaria y aportando la información filtrada para dar mayor credibilidad.

      ¿Qué podemos hacer para reducir el impacto? Para estos casos es recomendable utilizar correos electrónicos alternativos y números de teléfono temporales para registrarnos, siempre que sea posible. Así, nos ahorraremos publicidad no deseada y los riesgos de este tipo de filtraciones.

    • Nombre, apellidos, dirección o documentos de identificación personal: al igual que ocurre con el punto anterior, esta información personal puede servir a los atacantes para suplantar nuestra identidad y llevar a cabo todo tipo de actividades ilícitas. Por ejemplo, podrían dar de alta servicios a nuestro nombre, como alquileres, seguros o servicios como el agua o la luz, especialmente si se han filtrado números de cuenta o imágenes de nuestro DNI.

      ¿Qué podemos hacer para reducir el impacto? Si esta información se ha filtrado, podemos llevar a cabo prácticas como el egosurfing cada cierto tiempo, buscando nuestro nombre y apellidos en Internet para encontrar perfiles falsos o actividad sospechosa. De igual modo, es recomendable no utilizar esta información a no ser que sea imprescindible.

    • Datos bancarios: cualquier ciberdelincuente podría realizar compras y transferencias a otras cuentas con esta información.

      ¿Qué podemos hacer para reducir el impacto? En estos casos, deberemos notificárselo a nuestro banco para que evalúen el riesgo y puedan tomar las medidas oportunas, como anular la tarjeta bancaria e identificar posibles actividades sospechosas.

  3. Acciones legales. Podrás interponer una reclamación ante la Agencia Española de Protección de Datos por considerar que la empresa no ha actuado con la debida diligencia, que podrá desencadenar en una sanción administrativa de gran envergadura para la entidad. En caso de que se proceda a dicha sanción por parte de la AEPD, estarás legitimado a reclamar mediante demanda por la vía civil la correspondiente indemnización por daños y perjuicios, siempre que se pruebe que el daño producido es consecuencia de una mala praxis por parte de la organización que custodiaba tus datos.

Finalmente, es importante que hagamos un ejercicio de reflexión y nos planteemos cuál podría ser el peor escenario posible. Esto nos ayudará a ganar perspectiva y ser más conscientes de la información que compartimos a la ligera sin percatarnos de los riesgos.

No es lo mismo el daño en nuestra reputación, por ejemplo, ocasionado por una filtración de una tienda de venta de teléfonos que por la filtración de datos de una aplicación de citas o encuentros de carácter sexual.

Cómo podemos prevenirlo y protegernos

Como hemos visto, el riesgo existe, por lo que no podemos dejar la protección de nuestra privacidad únicamente en manos de las empresas de los servicios que utilizamos. Los usuarios también debemos cuidar nuestra propia seguridad y privacidad siendo proactivos. Estas son algunas pautas que podemos seguir tanto para protegernos como para minimizar el impacto de este tipo de amenazas:Imagen navega seguro

  • Utilizar un gestor de contraseñas. Además de ayudarnos a tener más control sobre nuestras claves, estas herramientas nos ayudarán a crear contraseñas más robustas y únicas, e incluso nos avisarán cuando sea hora de actualizarlas o si alguna de nuestras cuentas ha podido ser víctima de una filtración.

  • Comprobar nuestras cuentas en servicios como Have I Been Pwned. Esta web nos permitirá comprobar, a partir de nuestro correo electrónico, si alguna de nuestras cuentas vinculadas a dicho e-mail ha sido afectada por una filtración de datos. Es muy recomendable que revisemos este servicio periódicamente y actuemos en consecuencia, ya que no siempre nos enteraremos de cuándo ha habido una filtración.

  • Utilizar correos alternativos. Correos, números de teléfono e incluso nombres y apellidos ficticios son una solución para evitar los riesgos de las filtraciones. Podemos utilizarlos cuando queramos registrarnos en una web o servicio que vayamos a utilizar puntualmente, aunque es recomendable contar al menos con un correo alternativo para evitar utilizar el nuestro personal.

Finalmente, queremos recordar a todos los usuarios que en la web de la OSI, canal especializado en ciudadanos de INCIBE, encontrarás numerosos recursos con los que aprenderás a proteger mejor tus cuentas y la privacidad de tus datos personales en Internet. Por otro lado, desde INCIBE, ponemos a tu disposición la Línea de Ayuda en Ciberseguridad, 017, teléfono gratuito y confidencial, desde el que resolver todas tus dudas.

¿Sabías lo que era una filtración de datos? ¿Alguna de tus cuentas ha podido ser vulnerada? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.