El experto Ernesto Campohermoso señala que para cualquier trámite se pide fotocopia de carnet y no se siguen procedimientos de custodia de la información.
Bolivia carece de una norma de protección de datos personales como ocurre en Europa y eso puede llevar al robo de información personal con fines ilícitos, observó el gerente general de Cirrus IT SRL, Ernesto Campohermoso.
“Esto hace que las empresas e instituciones públicas no sigan procedimientos adecuados para custodiar nuestros datos”, manifestó el ingeniero en sistemas.
Según el experto, para cualquier trámite del gobierno y entidades privadas se piden varias fotocopias de carnet y en algunos casos se solicita numero de teléfono. “¿Se ha puesto a pensar cuántas fotocopias de carnet ha entregado en los últimos años?”, preguntó Campohermoso.
Añadió que desde el Segip se puede acceder a los datos personales en forma directa
“El Segip también tiene convenios con entidades financieras para que ellas puedan consultar nuestros datos sin solicitarnos consentimiento”, precisó.
El debate sobre este tema surgió a raíz de la denuncia de 14 víctimas que perdieron 638.300 bolivianos de sus cuentas vía robos virtuales en el Banco Unión.
Phishing
Campohermoso sostuvo que los ataques de phishing son otro mecanismo para captar datos personales y atacar cuentas.
Esto es muy común, Bolivia no es la excepción y funciona bajo este esquema común:
Los atacantes (ladrones) construyen un sitio con aspecto idéntico al de una entidad financiera, luego envían mensajes por correo electrónico, WhatsApp, SMS o publicidad en redes sociales para que el cliente ingrese bajo la creencia de que está interactuando con su banco.
De esta manera la persona ingresa a la supuesta plataforma de la entidad su código de usuario y contraseña. “Es en este momento donde usted pierde sus credenciales de acceso y los atacantes tienen acceso a sus cuentas digitales”, alerta el experto.
Aclara que cuando el atacante ya cuenta con estos datos, no siempre atacará la cuenta el mismo día, sino que primero verificará si es que se puede acceder.
Para ello necesita obtener el número de teléfono de la persona a la que atacará.
Eso se puede conseguir hoy en día en las redes sociales, donde la gente coloca esta información y otros datos. “Si la persona a perdido su usuario y contraseña, el resto de su información para hacer el ataque es fácil de conseguir, incluso llamando a la oficina de la persona para solicitar el número de teléfono”, apuntó.
Refirió que las personas no tienen la costumbre modificar sus contraseñas o usan una sola para diferentes usos.
Pérdida de información
El experto informó que hace poco Facebook filtró los datos personales de 533 millones de usuarios. En el caso de Bolivia esta cifra llega a dos millones.
Esta información se encuentra disponible en el mercado negro para que los atacantes puedan comprarla.
Campohermoso señaló que si un ciudadano desea conocer si sus datos personales son públicos puede ingresar su numero de celular (con el prefijo +591) en el siguiente sitio: https://haveibeenpwned.com. “(no ingrese otro dato, no confié en otros sitios), por ejemplo, en mi caso, toda mi información fue filtrada por Facebook”, puntualizó el ingeniero en sistemas.
Doble autenticación
Carlos Olivera Terrazas, emprendedor en tecnologías de información, desarrollador de software a raíz del debate surgido por la pérdida de dinero de ahorristas del Banco Unión, opinó en su cuenta de Twitter que la doble autenticación de la entidad financiera usa el servicio de SMS de las empresas telefónicas.
Esa es una barrera de seguridad que muchos usan en varias cuentas. “Los delincuentes lograron recuperar las líneas GSM en sus SIM y de esta manera vulnerar esta barrera”, apuntó.
En su criterio el eslabón más débil es la autenticación de doble factor y esto debe ser investigado, revisado y de ser necesario realizar cambios en su procedimiento. “Más allá de la forma en cómo obtuvieron el usuario y contraseña, preocupa lo fácil que llegaron a clonar las líneas telefónicas”, complementó.
El Banco Central de Bolivia establece que las transferencias deben cumplir un proceso de doble factor de autenticación para confirmar una trasferencia bancaria.
A tomar en cuenta
- Prevención La ASFI recomienda para las transacciones electrónicas: no dejar que otras personas vean su PIN cuando utilice un instrumento electrónico de pago (tarjeta de débito o crédito, desde el celular o computadora).
- Ajuste Cambiar regularmente la clave y de ninguna manera llevarla escrita en la cartera o billetera, es mejor memorizarla y no exhibir el PIN.
Fuente: Página Siete