Video: 🖊 Cómo cambiar el teléfono en la Seguridad Social por internet - Paso a Paso (Noviembre 2024)
Cuando un sitio de compras en línea sufre una violación de datos, recibirá una advertencia para cambiar su contraseña. Si su banco es pirateado, le enviarán una nueva tarjeta de crédito. El verdadero problema ocurre cuando una empresa lo autentica utilizando datos personales que no se pueden cambiar, como su número de seguro social o fecha de nacimiento. Un nuevo documento técnico de NSS Labs examina el uso de información estática y dinámica para la autenticación, y ofrece consejos a las empresas para mejorar la seguridad.
Datos estáticos
El número de seguro social nunca fue un identificador personal. El informe señala que el identificador equivalente en el Reino Unido nunca se usa para la autenticación. Una vez que su SSN se revela en una violación, se ve comprometido para siempre. Y eso es un problema.
Algunas empresas intentan proteger a los clientes almacenando solo los últimos cuatro dígitos del SSN. Resulta que esto no es muy efectivo. Los primeros cinco dígitos no son aleatorios; se basan en cuándo y dónde solicitó por primera vez su SSN. Un proyecto de investigación de hace cinco años analizó datos del "Archivo Maestro de la Muerte" del gobierno e ideó un algoritmo para predecir esos primeros cinco dígitos. Con solo dos intentos lograron una precisión del 60 por ciento. Si los ciberdelincuentes ya tienen los últimos cuatro dígitos, su número de seguro social se genera.
La fecha de nacimiento es otro dato que simplemente no se puede cambiar. El informe señala que el lugar de nacimiento, el género y la ciudadanía también se pueden usar para la autenticación y tampoco se pueden cambiar. Continúa afirmando que "las empresas y los gobiernos deberían abstenerse de usar estos atributos con fines de seguridad en línea, aunque históricamente se los ha considerado confidenciales".
Datos dinámicos
Los consumidores deben usar contraseñas seguras diferentes para todos los sitios seguros, y las empresas deben ayudar, no obstaculizar, este esfuerzo. El informe aconseja a todas las empresas que permitan contraseñas largas y eliminen cualquier restricción sobre qué caracteres se pueden usar. Es muy desalentador cuando un sitio web rechaza la contraseña súper segura generada por su administrador de contraseñas.
Los usuarios que han olvidado sus contraseñas a menudo pueden volver a autenticarse proporcionando respuestas a una o más preguntas de seguridad. Solicitar información disponible públicamente, como la ciudad natal del cliente o el apellido de soltera de la madre, es un gran error. Las empresas deben permitir que los clientes definan sus propias preguntas, y los clientes deben elaborar preguntas que ningún extraño pueda responder. El informe no dice esto, pero si se enfrenta a una mala pregunta de seguridad, le aconsejo que proporcione una respuesta que sea falsa pero memorable.
Perfil criminal
Los anunciantes y las empresas en línea constantemente perfilan a los consumidores de muchas maneras diferentes. Buscan identificar clientes leales, riesgos de mal crédito, incluso averiguar quién está sano y quién no. Sus hábitos de compra pueden determinar si recibe o no un cupón de descuento, o qué tono publicitario llega a su navegador.
Lo mismo sucede exactamente en el sombrío mundo del cibercrimen. Cada violación de datos les da a los malos más datos, y al combinar resultados de violaciones superpuestas pueden crear perfiles muy precisos. El documento técnico sugiere que tales perfiles ya existen para "millones de usuarios".
Asesoramiento para empresas
El documento técnico ofrece una serie de sugerencias para negocios en línea. Recomienda almacenar solo el mínimo necesario de datos personales y no almacenar nada en absoluto para una transacción única. Las empresas deben evitar almacenar datos confidenciales como texto sin formato; en particular, deberían almacenar hashes de contraseñas, no contraseñas. También deberían permitir a los usuarios cancelar cuentas, eliminando así todos los datos personales del sistema, incluidos los datos almacenados en las copias de seguridad.
Las empresas deben asumir que ocurrirá una violación de datos. El informe señala que de las diez infracciones más grandes en la última década, la mitad ocurrió en 2013. La preparación para una infracción incluye la creación de un canal de comunicación alternativo para cada usuario, en caso de que se infrinja el canal principal. Las empresas deben comunicarse proactivamente después de una infracción e implementar métodos para volver a autenticar a los usuarios en riesgo, como la creación de preguntas desafiantes basadas en la actividad real del usuario.
El documento técnico completo, titulado "Por qué su violación de datos es mi problema", ofrece una gran cantidad de información útil y procesable, y es sorprendentemente legible. Echar un vistazo.
