De acuerdo a una publicación de BleepingComputer, se han encontrado los datos de 92 millones de brasileños expuestos y a la venta en foros de la Deep Web.

Tal y como se especifica en el reporte, la subasta estaba disponible en múltiples mercados de la Deep Web a la que solamente se podía acceder pagando una pequeña cantidad de dinero o mediante invitación de alguien que tuviera una cuenta activa en dichos portales webs.

16 GB de datos de usuarios brasileños clasificados en una base de datos SQL que se ofrecía por una puja inicial de 15.000 dólares y una sobrepuja de 1.000 dólares adicionales.
Esta base de datos contenía: nombres, fechas de nacimiento, IDs de contribuyentes y alguna información extra sobre direcciones, el sexo o el nombre de la madre de cada víctima.

El origen de la base de datos no es claro, aunque por la información del ID del contribuyente u otra información única de la persona, hace pensar que el origen sea una base de datos gubernamental de aproximadamente 93 millones de ciudadanos que actualmente se encuentran empleados.

La fuga de información es bastante grande, y más, cuando se observa que, según datos demográficos como los presentados en la anterior captura, la población de Brasil es de unos 210 millones de personas mientras que la fuga es de 92 millones (más del 43% de la población). Es decir, casi la mitad de la población brasileña se ha podido ver afectada por esta subasta de información personal.

Bajo el Artículo 18 de la Ley General de Protección de Datos de Brasil, los ciudadanos tienen derechos asociados a sus datos, por lo que las organizaciones tienen el deber de asegurar que su información está anonimizada, redactada y eliminada. Desafortunadamente, esta Ley no entra en vigor hasta agosto de 2020.

Jonathan Deveaux , Jefe de Protección de Datos empresariales con Comforte AG considera que en el futuro, las empresas deberían depender más de métodos como los de tokenización para proteger datos de los ciudadanos. Tal y como Jonathan Deveaux dijo:

«Una buena práctica emergente entre muchos líderes tecnológicos es adoptar un enfoque de seguridad centrado en los datos, que protege los datos personales con tecnología de anonimización como la tokenización.

La tokenización no solo permite que las organizaciones cumplan con los requisitos de cumplimiento y permanezcan seguras, sino que la tokenización también permite que las organizaciones adopten de forma segura la tecnología moderna, como la computación híbrida o en la nube».

Esta fuga de información sirve para mantener una actitud escéptica con respecto a cómo se están realizando, por ejemplo, las transferencias bancarias en compras online, puesto que con la última normativa PSD2, muchas entidades bancarias han optado por utilizar SMS para acceder o verificar pagos, algo que posiblemente no sea lo más seguro (sobre todo teniendo en cuenta noticias como las de SimJacker).

Más información:

• Publicación de BleepingComputer
• Datos demográficos de Brasil
• Normativa PSD2
• SimJacker