Ni siquiera tuvimos tiempo para respirar y absorber todas las desgracias que ocurrieron en 2020: todo Brasil entró en un frenesí el 19 de enero de este año, después de que varios medios de comunicación comenzaran a informar. cuál sería la mayor filtración de datos en la historia del país. Un delincuente estaría comercializando, a través de un foro web de superficie, los datos personales de más de 223 millones de ciudadanos, incluidos los fallecidos, e incluso publicaría algunas muestras gratuitas de la base de datos.
La Agencia Nacional de Protección de Datos (ANPD) solicitó investigaciones sobre el incidente, principalmente dirigidas a Serasa, ya que algunos elementos de la base de datos ofrecida mencionaban al buró de crédito, aunque la empresa, desde un principio, negó con vehemencia tener alguna relación con la exposición. Las acciones de la Policía Federal culminaron con la detención de dos sospechosos: el minero Marcos Roberto Correia da Silva (“Vandathegod”) y el pernambuco Yuri Batista Novaes (“JustBR”).
Desde entonces, el “megavazamento” -como se conoció- se convirtió en noticia para los periódicos nacionales e internacionales, además de eternas discusiones sobre privacidad de datos, Ley General de Protección de Datos (LGPD), eficiencia de la ANPD y orientación al público final sobre cómo proteger usted mismo contra un posible fraude o tergiversación. Sin embargo, a lo que muchos no están prestando atención es a que, al final, es posible que una “megafuga” de este tipo nunca haya existido.
Datos de microondas
Lo primero es lo primero. Como explicó The Hack en su boletín publicado el 22 de febrero, PSafe, una empresa brasileña que identificó la venta de los datos y alertó a los medios de comunicación, comenzó a sufrir una serie de críticas del mercado por haber hecho un divulgación No apropiado si tenemos en cuenta los estándares de la industria. La empresa no investigó en profundidad la filtración, limitándose a preparar un comunicado de prensa que provocó más pavor y dudas que las propias soluciones.
En ese momento, un ejecutivo de seguridad de la información de nivel C (que prefirió permanecer en el anonimato) declaró, en exclusiva: “La divulgación apocalíptica de estas pseudo mega filtraciones, con poco o ningún contexto técnico, daña los esfuerzos generales de concientización en la protección y los datos. intimidad. Es una lástima que las empresas tomen estos caminos para promocionar su marca en el mercado ”. El artículo se puede leer en su totalidad en este enlace..
Lo que sucede es lo siguiente: No es ético concluir, sin la debida investigación, que una base de datos ofrecida por un criminal anónimo es de hecho una filtración sin precedentes.. Dado que estos delincuentes virtuales se benefician de la venta de estas bases de datos, es perfectamente natural que compilen varias exposiciones diferentes para crear una colección más grande y ofrecerla en el “mercado” para atraer la atención del público. En el proceso, Bastaría con insertar uno o dos PDF de una empresa privada para culparla del incidente..
En una encuesta realizada por un grupo propietario que reúne a docenas de CISO (jefes de seguridad de la información o gerentes de seguridad de la información), The Hack descubrió que, para el 57% de los profesionales en el campo, la mayor parte de las “megafugas” deben estar hechas de material antiguo enriquecido con pocos datos inéditos. Ya El 40% cree que la base de datos no tiene nada nuevo., siendo una recopilación de filtraciones conocidas; solo el 3% de los encuestados cree que, de hecho, la exposición es nueva.
Es una fuga … ¿Pero es nueva?
En una entrevista con The Hack, Alexandre Sieira, CEO de Tenchi Security, declaró que el simple hecho de que haya referencias a Serasa en la base de datos no es prueba suficiente de que la empresa fue invadida. “Alguém pode ter comprado essas informações de forma legítima da Serasa há anos atrás, você pode ter um parceiro da Serasa que tenha acesso a essas informações ou até mesmo um cliente da empresa com acesso aos dados”, explicou o executivo, em uma rápida conversa por teléfono.
“Hay muchos escenarios posibles, y ninguna de las pruebas presentadas en los artículos de noticias o publicaciones de PSafe le permite saber si sucedió alguno de estos. Nuevamente, puede ser una combinación, una unión de tres o cuatro fugas, cada una de un tipo diferente ”, dice Sieira. “Vimos titulares que decían ‘nueva filtración’. No tenemos evidencia para saber si hubo una fuga y si es nueva.. Solo puede ser re-datos de bases anteriores ”, concluye.
Sieira también comenta que las empresas que se asociaron con la “fuga” sin ningún fundamento técnico fueron abordadas por varias autoridades, generando toda una situación que generó vergüenza e impactos sin saber si realmente están involucradas en la situación. Además, el experto expresa preocupación por el hecho de que el mercado negro de datos personales ha existido durante años, incluso en la web superficial, como el propio foro en el que se puso a disposición la base de datos y en los grupos de Facebook.
“¿Existe una investigación consistente sobre esto para reprimir a los criminales? ¿Tienen las autoridades policiales las herramientas para perseguir a estas personas? ¿No deberíamos centrarnos en un conjunto particular de datos que se está vendiendo, sino más bien si hay una acción coordinada de las autoridades para desalentar estos anuncios públicos? Tan pronto como alguien venda ilegalmente datos personales y tenga más de cero posibilidades de ser arrestado, habrá menos gente vendiéndolos ”, concluye.
¿De quién es el interés?
Casualmente, el miércoles pasado (24), el 22 ° Juzgado Federal Civil de São Paulo negó una orden judicial que obligó a Serasa a notificar a sus clientes sobre la mega filtración precisamente por la falta de evidencia de que la empresa esté involucrada en el incidente. “Solo después de las pruebas necesarias se podrá determinar el cumplimiento del deber legal de comunicar a los titulares el incidente de fuga de datos”, señaló el juez José Henrique Prescendo, responsable del juicio.
La gran pregunta ahora es: si la megafuga es realmente una colección de datos recalentados, ¿quién estaría interesado en difundir ese contenido? Podemos trabajar con solo dos hipótesis: el criminal (que se beneficiará de vender la base de datos de todos modos, aunque no hay evidencia de que haya tenido éxito en sus ventas) y las empresas de seguridad que ofrecen soluciones B2B para evitar fugas de datos. Con la desesperación pública, es natural que crezca la demanda de este tipo de servicio.
De todos modos, cabe recordar que, si se comprueba que la filtración no es nueva, que los datos se obtuvieron de forma legítima y que Serasa no tiene relación con el incidente, los responsables de la difusión de esta “idea” posiblemente se encuadren en el art. 340 del Código Penal: “Provocar la acción de autoridad, informándole de la ocurrencia de un delito o falta que sepa que no ha ocurrido”. Es la famosa “denuncia falsa de delitos” y el delincuente puede ser detenido durante seis meses.
The Hack continuará investigando el caso.
Fuente: Convergencia digital, G1
See the original post at: https://thehack.com.br/seria-o-maior-vazamento-de-dados-do-brasil-uma-fraude-especialistas-comentam/?rand=48889
