Protección de la información personal de los consumidores

Recomendaciones de seguridad de datos de OAG

Según la ley de Nueva York, las empresas deben utilizar salvaguardas razonables para proteger la información personal de los neoyorquinos. Cuando parezca que una empresa no lo ha hecho, la Procuraduría General investigará y, si corresponde, tomará medidas. Este informe destaca los hallazgos de varias de las investigaciones recientes de OAG y ofrece una orientación directa que puede ayudar a las empresas a fortalecer sus programas de seguridad de datos y proteger mejor la información de los consumidores.

Mantener controles para una autenticación segura

Si su empresa almacena información de los clientes, los procedimientos de autenticación sólidos pueden ayudar a garantizar que solo las personas autorizadas puedan acceder a los datos. Las políticas y procedimientos de su empresa deben:

Utilice un método seguro de autenticación

Para muchos sistemas protegidos con contraseña, una contraseña robada puede ser todo lo que se necesita para que un ciberdelincuente obtenga acceso a información confidencial y sensible. Desafortunadamente, los ciberdelincuentes han desarrollado innumerables formas de obtener contraseñas. Por lo tanto, en muchos casos, la autenticación basada en contraseña por sí sola no es un mecanismo seguro para autenticar a los usuarios. Las empresas deben utilizar una alternativa más segura, como la autenticación multifactor, especialmente para las cuentas administrativas o de acceso remoto. Es importante destacar que esto se aplica tanto a las cuentas internas de los empleados como a las cuentas de los clientes.

Dos ciberataques recientes investigados por OAG ilustran los riesgos de autenticarse solo con contraseñas. En 2022, anunciamos un acuerdo con EyeMed después de que los atacantes obtuvieran acceso a una cuenta de correo electrónico corporativa que contenía datos confidenciales de clientes. EyeMed no había requerido la autenticación multifactor al iniciar sesión, lo que podría haber frustrado los intentos del atacante de acceder a la cuenta. La intrusión otorgó al atacante acceso a correos electrónicos y archivos adjuntos que datan de hace seis años, incluidos los nombres de los consumidores, direcciones, números de Seguro Social y números de cuentas de seguros.

Del mismo modo, en 2022, anunciamos un acuerdo con Carnival Cruise tras el acceso no autorizado de un atacante a las cuentas de correo electrónico de los empleados de Carnival. La violación expuso información confidencial de clientes y empleados, incluidos números de pasaporte, números de licencia de conducir, información de tarjetas de pago, información de salud y números de seguro social. Tenga en cuenta que la notificación al consumidor fue particularmente difícil en estos casos porque las empresas carecieron de visibilidad de estos datos que se almacenaron en el correo electrónico durante muchos años, lo que provocó meses de retraso.

Requerir contraseñas largas y seguras

La dificultad de realizar un seguimiento de varias contraseñas lleva a las personas a usar contraseñas fáciles de recordar y a usarlas una y otra vez. Tal vez como era de esperar, la contraseña más común es: contraseña. El segundo más común: 123456. Recuerde que cada carácter adicional hace que una contraseña sea mucho más difícil de descifrar. Y agregar símbolos y números lo hace mucho más difícil. Si una computadora determinada pudiera descifrar la contraseña de seis caracteres en un segundo, se necesitarían más de dos millones de años para descifrar una contraseña de 12 caracteres.^{número arábigo} Es probable que la violación de Carnival involucrara la adivinación automática de contraseñas llamada ataque de fuerza bruta.

Además, además de imponer requisitos de complejidad de contraseñas, que pueden resultar en que los usuarios simplemente agreguen un número o un carácter especial al final de una contraseña fácil de adivinar (¡como Contraseña1 o Contraseña!), las empresas deben considerar comparar las contraseñas elegidas por el usuario con las bases de datos de contraseñas violadas y prohibir el uso de contraseñas específicas del contexto, como el nombre del usuario/empresa o la fecha de nacimiento.

Contraseñas seguras contra ataques

Es fundamental proteger las contraseñas contra ataques. En la mayoría de los casos, esto requiere "hashing", un proceso que convierte las contraseñas en una cadena de letras y/o números para que no puedan ser leídas o utilizadas si caen en las manos equivocadas. Las empresas deben utilizar un método de hash que no sea susceptible a los intentos de descifrado de contraseñas. Por lo general, esto requiere la selección de un algoritmo de hash apropiado y el uso de caracteres aleatorios adicionales, a veces llamados "sal".

Nuestra oficina ha tomado medidas en repetidas ocasiones contra las empresas que no protegieron las contraseñas de sus clientes. Por ejemplo, OAG recientemente aseguró un acuerdo con Wegmans después de que una investigación descubriera que la compañía había estado usando un método de hash obsoleto en algunas contraseñas de clientes, incluido un algoritmo de hash que podría subvertirse fácilmente.

Cifre la información confidencial de los clientes

Con las amenazas cibernéticas en continua evolución, ninguna protección puede ser 100 por ciento efectiva. Es por eso que es crucial que las empresas no solo se defiendan contra el acceso no autorizado, sino que también establezcan controles en caso de que esas defensas fallen. Para la mayoría de las empresas que manejan información confidencial de los clientes, esos controles deben incluir cifrado, un proceso de codificación de información que solo se puede revertir mediante una clave secreta, llamada clave de descifrado.

En nuestro reciente caso de CafePress, descubrimos que un popular mercado en línea no había cifrado de forma segura la información de compradores y vendedores, incluidos los números de seguro social y los números de identificación fiscal asociados con más de 180,000 cuentas de vendedores, que se dejaron en texto sin formato. Un ciberdelincuente que obtuvo acceso al sistema de la empresa pudo robar esta información y finalmente la puso a la venta en la web oscura. Si la información hubiera estado encriptada, habría estado protegida incluso en manos de un ciberdelincuente.

Garantizar que los proveedores de servicios utilicen medidas de seguridad razonables

Las empresas que confían la información de los clientes a sus proveedores de servicios son responsables de garantizar que dichos proveedores de servicios utilicen las medidas de seguridad adecuadas para proteger esa información. Si no lo hace, puede poner en riesgo la información del cliente. En 2022, llegamos a un acuerdo con T-Mobile luego de una violación en la que un actor no autorizado obtuvo acceso a la información del cliente almacenada en la red de su proveedor. La información a la que se accedió incluía nombres, direcciones, fechas de nacimiento, números de Seguro Social, números de identificación (como números de licencia de conducir y pasaporte) e información relacionada utilizada en las propias evaluaciones crediticias de T-Mobile.

En el acuerdo con OAG, T-Mobile acordó disposiciones detalladas de gestión de proveedores diseñadas para fortalecer su supervisión de proveedores en el futuro. Estos incluyen el mantenimiento de un inventario de contratos de proveedores de T-Mobile, incluidas las calificaciones de riesgo del proveedor en función de la naturaleza y el tipo de información que el proveedor recibe o mantiene; imposición de requisitos contractuales de seguridad de datos a los proveedores y subproveedores de T-Mobile; establecimiento de mecanismos de evaluación y supervisión de los proveedores; y las medidas apropiadas en respuesta al incumplimiento del proveedor, incluida la rescisión del contrato.

Las empresas que dependen de los proveedores de servicios deben tomar medidas razonables para garantizar que sus proveedores implementen las medidas de seguridad adecuadas, incluidas las descritas en este informe. En la mayoría de los casos, esto incluiría diligencia en la selección de proveedores de servicios con programas de seguridad de datos adecuados, la creación de expectativas de seguridad en los contratos con los proveedores de servicios y la supervisión del trabajo de los proveedores de servicios para garantizar el cumplimiento.

Sepa dónde guarda la información del consumidor

Una empresa no puede proteger adecuadamente la información de los clientes si no sabe dónde se guarda esa información. Nuestro caso Wegmans pone de manifiesto los peligros de perder el rastro de los datos de los clientes. En ese sentido, un investigador de seguridad se puso en contacto con el minorista de comestibles después de descubrir que uno de los contenedores de almacenamiento en la nube de la compañía estaba configurado para permitir el acceso público a su contenido. El contenedor incluía archivos de copia de seguridad de bases de datos con la información de más de tres millones de clientes. Cuando el investigador de seguridad se puso en contacto con la empresa, el personal de seguridad de la empresa no sabía que los archivos de copia de seguridad antiguos estaban almacenados en esa ubicación.

La empresa podría haber evitado este incidente por completo si hubiera mantenido un inventario de activos que contuvieran información de los clientes. Con un inventario de activos, habría sabido que esos contenedores en la nube tenían archivos con información del cliente y, por lo tanto, podría haber realizado las pruebas de seguridad adecuadas, que pueden haber identificado la configuración incorrecta antes.

Con la rotación de personal y los cambios en las prácticas a lo largo del tiempo, es crucial mantener un inventario de activos que rastree dónde se guarda la información personal para que pueda protegerse adecuadamente. Mantener la seguridad de un inventario de activos también es muy importante.

Protéjase contra la fuga de datos en aplicaciones web

La información confidencial nunca debe divulgarse a través de un sitio web o una aplicación sin la autenticación adecuada. En muchos casos, no es necesario, o apropiado, divulgar dicha información en absoluto. En su lugar, la información confidencial generalmente debe enmascararse, por ejemplo, enviando solo los últimos cuatro dígitos de un número de tarjeta de crédito. Las empresas deben auditar sus aplicaciones web para asegurarse de que los datos confidenciales solo se transmitan en forma desenmascarada cuando corresponda.

Proteja las cuentas de los clientes afectados por incidentes de seguridad de datos

Los ciberataques exitosos no solo pueden otorgar a los atacantes acceso a la información de los clientes, sino que, en ciertos casos, también pueden otorgar a los atacantes acceso a las cuentas en línea de los clientes. Cuando un atacante ha comprometido la seguridad de la cuenta de un cliente, por ejemplo, robando las credenciales de inicio de sesión del cliente o accediendo a la cuenta, las empresas deben tomar medidas para asegurar la cuenta y proteger al cliente de daños mayores.

Recientemente, tomamos medidas contra una empresa que no protegió las cuentas de los clientes que se habían visto afectadas por un incidente de seguridad de datos. En 2018, los atacantes se infiltraron en los sistemas de Zoetop y robaron una variedad de información de los clientes, incluidas las credenciales de inicio de sesión de decenas de millones de cuentas de clientes de SHEIN. Sin embargo, para la gran mayoría de estas cuentas, Zoetop no tomó ninguna medida para proteger a sus clientes, por ejemplo, restableciendo las contraseñas de las cuentas o alertando a los clientes de que sus cuentas estaban en riesgo. Tras una investigación, la Procuraduría General obtuvo un acuerdo que requería que la empresa adoptara políticas mejoradas de respuesta a incidentes.

Cuando las credenciales de inicio de sesión o las cuentas de los clientes han sido, o es razonablemente probable que hayan sido, comprometidas, hay varios pasos que una empresa debe tomar. En primer lugar, debe actuar rápidamente para bloquear el acceso de los atacantes a las cuentas. En la mayoría de los casos, esto requiere restablecer inmediatamente las contraseñas de las cuentas que probablemente se vieron afectadas por los ataques. En algunos casos, también puede ser apropiado tomar medidas adicionales, como congelar las cuentas relevantes. En segundo lugar, en la mayoría de los casos, la empresa debe notificar rápidamente a los clientes afectados. El aviso permite a los clientes tomar medidas para protegerse, por ejemplo, revisando sus cuentas en línea o estados financieros en busca de fraude y protegiendo otras cuentas en línea que usan las mismas credenciales de inicio de sesión comprometidas.

Eliminar o deshabilitar cuentas innecesarias

Las cuentas antiguas y no utilizadas, a veces denominadas cuentas huérfanas, son las favoritas de los atacantes que buscan acceso a los sistemas protegidos. Por lo general, estas cuentas no están supervisadas y, con frecuencia, usan credenciales que permanecen sin cambios durante años. En una brecha reciente reportada por un proveedor escolar, los atacantes pudieron acceder a los sistemas de la empresa utilizando la clave de acceso de un ex empleado. Aunque el empleado había dejado la empresa años antes del ataque, la cuenta y la clave de acceso permanecieron sin cambios porque la empresa no eliminó las cuentas inactivas ni exigió que se actualizaran las credenciales.

Las empresas deben contar con procesos para eliminar o deshabilitar las cuentas con acceso a información confidencial cuando los empleados se van o finalizan los compromisos con los proveedores. La mayoría de las empresas tambien deben auditar regularmente las cuentas para identificar aquellas que han estado inactivas durante un periodo prolongado de tiempo.

Protéjase contra ataques automatizados

El relleno de credenciales sigue siendo una de las formas más comunes de ataque a las cuentas de los clientes. Este tipo de ataque suele implicar intentos repetidos de iniciar sesión en cuentas en línea utilizando nombres de usuario y contraseñas robados de otros servicios en línea. Los ciberdelincuentes a menudo usan software automatizado, o "bots", que son capaces de realizar cientos de intentos de inicio de sesión simultáneamente sin entrada manual. Una vez que un ciberdelincuente inicia sesión con éxito en una cuenta, es posible que pueda realizar compras con una tarjeta de crédito guardada en la cuenta, robar una tarjeta de regalo guardada en la cuenta, usar los datos de los clientes guardados en la cuenta en un ataque de phishing o vender las credenciales de inicio de sesión en la web oscura.

Nuestra oficina también ha tomado medidas sobre el fracaso de una empresa para responder adecuadamente a los ataques exitosos de relleno de credenciales. En una demanda reciente contra Dunkin' Donuts, alegamos que decenas de miles de cuentas de clientes de Dunkin' se habían visto comprometidas en una serie de ataques en línea. Aunque Dunkin' estaba al tanto de estos ataques, la compañía no tomó ninguna medida para proteger a los clientes cuyas cuentas sabía que se habían visto comprometidas, como notificar a los clientes afectados de la violación, restablecer las contraseñas de las cuentas para evitar más accesos no autorizados o congelar las tarjetas de valor almacenado registradas en las cuentas de los clientes.

Para muchas empresas, los ataques de relleno de credenciales son inevitables. Es por eso que las empresas que mantienen cuentas en línea para sus clientes deben contar con un programa de seguridad de datos que incluya salvaguardas efectivas para proteger a los clientes de los ataques de relleno de credenciales. En enero de 2022, publicamos una Guía empresarial para los ataques de relleno de credenciales en la que se detallaban cuatro áreas en las que se deben mantener las salvaguardas y las medidas de seguridad específicas que se han comprobado eficaces.

Proporcionar un aviso claro y preciso a los consumidores

Cuando la información de los consumidores cae en manos de los atacantes, la notificación permite a los consumidores tomar medidas para protegerse. Es por eso que es fundamental que las empresas proporcionen a los consumidores avisos que sean oportunos y precisos. Cuando una empresa, en cambio, emite declaraciones que son engañosas en un esfuerzo por minimizar el alcance o la gravedad de un ataque, puede dar a los consumidores una falsa sensación de seguridad. También puede violar la ley de Nueva York.

Recientemente, tomamos medidas para responsabilizar a una empresa por las declaraciones engañosas realizadas después de un ataque. Como se señaló anteriormente, en 2018, los atacantes se infiltraron en los sistemas de Zoetop y robaron una variedad de información de los clientes. Zoetop se enteró por primera vez del ataque a través de su procesador de pagos, que escribió que tenía información "que indicaba que los sistemas [de Zoetop] habían sido infiltrados y que los datos de las tarjetas [de crédito] habían sido robados". Sin embargo, en una declaración pública después de la violación, Zoetop escribió falsamente que no tenía "ninguna evidencia" de que la información de la tarjeta de crédito hubiera sido tomada de sus sistemas. Zoetop también declaró públicamente, falsamente, que estaba en proceso de notificar a los clientes que se habían visto afectados en el ataque. De hecho, Zoetop no notificó a la gran mayoría de los clientes cuya información de inicio de sesión había sido robada.

La notificación es un aspecto crítico de la respuesta a incidentes. Las empresas deben tener cuidado de proporcionar un aviso oportuno y que transmita de manera clara y precisa información material sobre el ataque.

Conclusión

Nueva York se enorgullece de ser un líder nacional en innovación y progreso. Nos destacamos en la generación de nuevas y emocionantes tecnologías que pueden mejorar vidas, pero debemos asegurarnos de que los consumidores puedan navegar por el mundo digital de manera segura y responsable. A medida que las técnicas y tácticas de los ciberdelincuentes continúan mejorando, también deben hacerlo nuestros esfuerzos para detenerlos. Las organizaciones pueden tomar medidas relativamente sencillas para proteger sus sistemas y reducir o eliminar las filtraciones de datos. Esta guía debería ayudar a las organizaciones a fortalecer sus programas de seguridad de datos para que puedan brindar a los neoyorquinos la mejor seguridad de datos en el país.

¹ Este informe es solo para fines informativos y no debe interpretarse como una declaración de la ley, asesoramiento legal o como política del estado de Nueva York. El documento puede ser copiado, siempre y cuando (1) el significado del texto copiado no sea cambiado o tergiversado, (2) se dé crédito al Fiscal General del Estado de Nueva York, y (3) todas las copias se distribuyan de forma gratuita.

² Jean-Paul Delahaye, The Mathematics of Hacking, Scientific American, 12 de abril de 2019, https://www.scientificamerican.com/article/the-mathematics-of-hacking-passwords (consultado por última vez el 4 de marzo de 2023)