Esta noción fue ideada por Diffie y Hellman en 1976.

La firma digital y el correo electrónico ofrecen

conjuntamente sustanciosas ventajas, una de ellas es hacer posible el correo certificado y la firma
electrónica de contratos.

La idea principal de la firma digital es que solamente el emisor la pueda producir y además se
pueda demostrar que, efectivamente, es él quien la produce. Representa por tanto, un control
más fuerte que la autenticación.

ROBO DE DATOS

El robo de datos todavía está asociado en gran medida al robo de datos bancarios o de la
identidad de las personas. Sin embargo, con la aparición del Internet de las cosas o del Internet de
las cosas industrial, hay muchas formas de obtener datos corporativos e incluso de los datos de los
empleados, que pueden parecer menos importantes, pero que pueden tener consecuencias
económicas devastadoras.

Con 4.000 millones de datos robados en 2018, el robo de datos es una amenaza cada vez más
poderosa y creciente. Según el reciente informe de Kaspersky sobre los presupuestos de seguridad
de TI , el coste medio de una violación de datos para las empresas hoy es de más de 2 millones de
dólares, lo que representa un aumento del 42% en comparación con 2017.

Todos estamos en medio de una crisis de robo de identidad.

Aquí tienes información esencial sobre en qué consiste el robo de datos, qué hacer en caso de ser
victima de este robo de datos y cómo prevenirlo.

Indice

¿Qué es el robo de datos?

Señales de un robo de datos

Ejemplos

Tipos
Robo de identidad de crédito

Robo de identidad fiscal

Robo de identidad infantil

Robo de identidad médica

Robo de identidad criminal

¿Cómo se produce el robo de datos?

Exploit

Spyware y keyloggers

Ataques de phishing

Compartir en las redes sociales

Llamadas fraudulentas y llamadas automáticas

Inyección SQL

Controles de acceso rotos o mal configurados

Relleno de credenciales

Protección frente al robo de datos

¿Qué hacer en caso de robo de datos?

Limpia tu ordenador

Restablece tus contraseñas para cuentas comprometidas y cualquier otra cuenta que comparta las
mismas contraseñas

Presenta un informe de robo de identidad ante las autoridades

Ponte en contacto con tu banco y acreedores

Revisa tu archivo de crédito

Envía una alerta de fraude

Revisa tu bandeja de entrada de correo electrónico cuidadosamente

Utiliza la autenticación multifactor

¿Qué es el robo de datos?

El robo de datos es el acto de robar información almacenada en ordenadores, servidores u otros
dispositivos de una víctima desconocida con la intención de comprometer la privacidad u obtener
información confidencial. Es un problema creciente para usuarios de ordenadores individuales, así
como para grandes corporaciones y organizaciones.

El robo de datos se produce tanto dentro como fuera de las empresas, y reducir el riesgo de robo
de datos internos a nivel corporativo es todo menos fácil. Esto es especialmente cierto porque los
administradores y empleados del sistema tienen acceso a tecnología como servidores de bases de
datos, ordenadores de escritorio y dispositivos externos, incluidos USB, teléfonos inteligentes y
otros dispositivos móviles y extraíbles.

Las principales formas de robo de identidad son:

Tarjeta de crédito

Impuesto

Teléfono o utilidades

Banco

Préstamo o arrendamiento

Documentos gubernamentales y beneficios

Otro, como datos médicos o redes sociales

El robo de identidad ocurre cuando un criminal obtiene o usa la información personal (por
ejemplo, nombre, inicio de sesión, DNI, fecha de nacimiento, etc.) para asumir su identidad o
acceder a sus cuentas con el fin de cometer fraude, recibir beneficios u obtener beneficios
financieros de alguna manera.

Las leyes internacionales varían de un país a otro. Los ciudadanos de la UE están protegidos por el
Reglamento General de Protección de Datos (RGPD).

Los delincuentes anteriores a Internet generalmente tenían que pasar por su buzón de correo
físico para obtener la información que necesitaban para robar su identidad.
Gracias al milagro de la tecnología moderna, los ciberdelincuentes de hoy no tienen que trabajar
tan duro para invadir su privacidad, pero pueden ganar mucho más. Las grandes empresas y las
grandes bases de datos contenidos en sus redes presentan un objetivo mucho más lucrativo que
los ataques poco sistemáticos a consumidores individuales.

En consecuencia, los ataques a las empresas aumentaron un 235 por ciento año tras año. Al
mismo tiempo, los ataques a los consumidores disminuyeron casi un 40 por ciento.

Señales de un robo de datos

Estos son los signos de que puedes haber sufrido un robo de datos:

Dejas de recibir tus facturas y estados de cuenta de tarjeta de crédito.

Recibirás extractos de cuentas que nunca has abierto.

Los cobradores de deudas comienzan a llamarte día y noche sobre deudas de las que nunca has
oído hablar.

Ves cargos en el extracto bancario o de tarjeta de crédito que no has realizado.

Tu informe de crédito incluye líneas de crédito que nunca abriste.

La señal más obvia: recibes una notificación de que has sido víctima de una violación de datos.

Ejemplos

Un ejemplo de robo de datos es la violación de datos de Yahoo en 2013 afectó a los tres mil
millones de cuentas de usuario de Yahoo. Si en algún momento tuviste una cuenta con Yahoo, eres
una víctima. Los datos robados incluían nombres, correos electrónicos, una combinación de
contraseñas cifradas y no cifradas, y preguntas y respuestas de seguridad, todo lo cual es
inmensamente útil para hackear otras cuentas que usan las mismas credenciales de inicio de
sesión.

Como resultado de la violación de datos de Yahoo y otros como este, es probable que sus datos
personales se vendan ahora mismo en la Dark Web. Mientras que un usuario normal usa la Web
normal para transmitir películas, comprar alimentos y descargar software, la Dark Web atiende a
un tipo diferente de cliente que busca pornografía ilegal, drogas y cachés de datos robados.
Tres compradores pagaron 300,000 dólares cada uno en un mercado de Dark Web por los datos
robados de Yahoo.

El mayor conjunto de datos robados en la historia se vendió en la Dark Web por solo 45 dólares.

Esta es una narración familiar dentro del mundo del delito cibernético: tú confías en una empresa,
la empresa es pirateada, sus datos son robados, los ciberdelincuentes venden sus datos en la Dark
Web, los compradores usan sus datos para cometer fraude.

Pero hay pasos que puede seguirse para salvaguardar la privacidad de sus datos y proteger su
identidad de los posibles ladrones de identidad. Incluso si los malos ya tienen tu información
personal, puedes hacer que esa información sea completamente inútil para ellos.

Tipos

Los principales tipos de robo de datos son los siguientes.

Robo de identidad de crédito

Esto ocurre cuando un estafador roba tu número de tarjeta de crédito directamente y lo usa para
realizar compras fraudulentas u obtiene una tarjeta de crédito o préstamo a tu nombre. Esta ha
sido la forma más común de robo de identidad para 2018.

Robo de identidad fiscal

Se produce cuando un estafador obtiene tu número de identificación fiscal y lo usa para obtener
un reembolso de impuestos o conseguir un trabajo. Estos datos pueden utilizarse para presentar
una declaración fraudulenta o puede utilizarse el número de identificación de un empleado para
crear empleados falsos y presentar declaraciones de impuestos a través de ellos.

Robo de identidad infantil

¿Por qué alguien querría fingir ser un niño? Muchas razones.

Los estafadores pueden robar datos de tu hijo para obtener un reembolso de impuestos,
reclamarlos como dependientes, abrir una línea de crédito, obtener un trabajo u obtener una
identificación del gobierno. Hay muchas maneras en que puede protegerse contra el robo de
identidad infantil, incluida la congelación del crédito de tu hijo.

Robo de identidad médica

Se produce cuando los delincuentes usan tu identidad para ver a un médico, recibir tratamiento
médico u obtener medicamentos recetados. En años anteriores, el robo de identidad médica
podría afectar tu capacidad de obtener cobertura de salud o hacer que pagues más por el
tratamiento. Las personas mayores son un objetivo principal para las estafas de identificación
médica.

Robo de identidad criminal

Se produce cuando un criminal es arrestado y proporciona a las fuerzas del orden público un
nombre, fecha de nacimiento e identificación fraudulenta basada en una identidad robada. El robo
de identidad criminal generalmente aparece cuando solicita un trabajo. Si el empleador realiza una
verificación de antecedentes, los delitos cometidos podrían impedirle obtener ese trabajo o
vivienda.

¿Cómo se produce el robo de datos?

Aquí tienes una muestra de los métodos de ataque más comunes que utilizan los
ciberdelincuentes para violar una organización, red o tu ordenador personal con el fin de robar tu
información personal y tu identidad.

Exploit

Es un tipo de ataque que aprovecha los errores o vulnerabilidades del software, que los
ciberdelincuentes utilizan para obtener acceso no autorizado a un sistema y a los datos que
contiene.
Estas vulnerabilidades se esconden dentro del código del sistema y es una carrera entre los
delincuentes y los investigadores de ciberseguridad para ver quién puede encontrarlos primero.
Los delincuentes, por un lado, quieren abusar de esos fallos mientras que los investigadores, por el
contrario, quieren denunciar las hazañas a los fabricantes de software para que los errores puedan
ser reparados. El software comúnmente explotado incluye el sistema operativo, los navegadores
de Internet, las aplicaciones de Adobe y las aplicaciones de Microsoft Office.

Spyware y keyloggers

Son un tipo de malware que infecta tu ordenador o red y roba información personal, el uso de
Internet y cualquier otro dato valioso que puedas tener. Por ejemplo, nombres de usuario,
contraseñas y DNI.

Puede instalarse spyware como parte de alguna descarga aparentemente benigna.

Alternativamente, el spyware puede llegar a tu ordenador como una infección secundaria a través
de un troyano como Emotet. Una vez que tu sistema está infectado, el spyware o keylogger envía
todos tus datos personales a los servidores de comando y control que ejecutan los
ciberdelincuentes.

Ataques de phishing

Estos funcionan al hacernos compartir información confidencial como nuestros nombres de

usuario y contraseñas, a menudo empleando trucos de ingeniería social para manipular nuestras
emociones, como la codicia y el miedo.

Un ataque de phishing típico comenzará con un correo electrónico falso, para que parezca que
proviene de una compañía con la que haces negocios o de un compañero de trabajo de confianza.
Este correo electrónico contendrá un lenguaje urgente o exigente y requerirá algún tipo de acción,
como verificar pagos o compras que nunca se realizaron. Al hacer clic en el enlace proporcionado,
te dirigirá a una página de inicio de sesión maliciosa diseñada para capturar su nombre de usuario
y contraseña.

Si no tienes autenticación multifactor habilitada, los ciberdelincuentes tendrán todo lo que

necesitan para hackear tu cuenta. Si bien los correos electrónicos son la forma más común de
ataque de phishing, los mensajes de texto SMS (también conocidos como smishing) y los sistemas
de mensajería de redes sociales también son populares entre los estafadores.
Compartir en las redes sociales

No es nuestra culpa cuando un sitio de redes sociales como Facebook o Instagram es pirateado,
pero compartir información personal en las redes sociales aumenta nuestro riesgo de robo de
identidad en caso de violación de datos.

Un error de Facebook permitió a los spammers evitar los requisitos de inicio de sesión y acceder a
información personal de 30 millones de usuarios. Del mismo modo, un error en Google+ dio a los
desarrolladores de aplicaciones de terceros acceso a información personal, incluyendo nombre,
correo electrónico, fecha de nacimiento, género, lugares donde vivieron y ocupación para casi
medio millón de usuarios. Dos meses después, Google desconectó el servicio de redes sociales
cuando se descubrió que otro error de Google+ expuso a más de 50 millones de usuarios.

Llamadas fraudulentas y llamadas automáticas

Son llamadas telefónicas en vivo o pregrabadas diseñadas para engañarte con tu información
personal. A través de esas llamadas conseguirán que facilites tus datos personales. Y estos serán
utilizados para cometer estafas o fraudes.

Inyección SQL

Es un tipo de ataque que aprovecha las debilidades en el software de administración de bases de

datos SQL de sitios web no seguros para que el sitio web facilite información de la base de datos.
El ciberdelincuente ingresa código malicioso en el campo de búsqueda de un sitio minorista, por
ejemplo, donde los clientes normalmente realizan búsquedas de lo que están tratando de
comprar. El sitio web le dará al hacker una lista de clientes y sus números de tarjeta de crédito.
Esto puede parecer una simplificación excesiva, pero realmente es así de fácil.

Los atacantes pueden incluso usar programas automatizados para llevar a cabo el ataque por ellos.
Todo lo que tienen que hacer es ingresar la URL del sitio de destino, luego sentarse y relajarse
mientras el software hace el resto.

Controles de acceso rotos o mal configurados

Con ellos se puede hacer que las partes privadas de un sitio web dado sean públicas cuando se
supone que no lo son. Por ejemplo, un administrador del sitio web hará que ciertas carpetas en la
red sean privadas. Sin embargo, el administrador web podría olvidarse de hacer que las
subcarpetas relacionadas también sean privadas, exponiendo cualquier información contenida en
ellas. Si bien estas subcarpetas pueden no ser evidentes para el usuario promedio, un
ciberdelincuente con fuertes habilidades podría encontrar esas carpetas mal configuradas y robar
los datos que contiene.

Relleno de credenciales

Después de una violación de datos, las organizaciones afectadas a menudo obligarán a restablecer
las contraseñas para todos los usuarios afectados. Pero eso no significa necesariamente que todos
estén a salvo. Los ciberdelincuentes pueden usar correos electrónicos robados, nombres de
usuario, contraseñas y preguntas y respuestas de seguridad para ingresar a otras cuentas y
servicios que comparten la misma información.

Utilizando herramientas de automatización listas para usar diseñadas para probar páginas web, los
ciberdelincuentes ingresan una lista de nombres de usuario y contraseñas robados en un sitio web
hasta que obtienen las credenciales correctas para el sitio web correcto. Este es un relleno de
credenciales y, aunque puede usarse para hackear cuentas de consumidores individuales,
generalmente se usa como parte de un ataque de protocolo de escritorio remoto.

Protección frente al robo de datos

A medida que el riesgo de robo de datos se vuelve cada vez más problemático, las empresas y
organizaciones deben tomar medidas para proteger sus datos confidenciales.

Estos son los pasos que cualquier empresa puede tomar para proteger sus datos:

Protege los datos confidenciales de clientes, empleados y pacientes manteniendo los dispositivos
de almacenamiento que contienen información confidencial en un área bloqueada y segura y
restringiendo el acceso a datos confidenciales.

Desecha adecuadamente los datos confidenciales y elimina todos los datos de los ordenadores y
dispositivos antes de deshacerte de ellos.

Usa protección con contraseña para todas los ordenadores y dispositivos comerciales y exige a los
empleados que tengan nombres de usuario únicos y contraseñas seguras que cambien
regularmente.
Cifra datos confidenciales y usa cifrado en todos los ordenadores portátiles, dispositivos y correos
electrónicos que contengan datos confidenciales.

Protégete contra virus y malware instalando y utilizando software antivirus y antispyware en todos
los ordenadores comerciales.

Mantén tu software y sistemas operativos actualizados instalando actualizaciones de seguridad,

navegadores web, sistemas operativos y software antivirus tan pronto como estén disponibles.

Establece un acceso seguro a tu red con cortafuegos, acceso remoto a través de redes privadas
virtuales configuradas correctamente y redes Wi-Fi seguras y encriptadas.

Verifica los controles de seguridad de terceros y asegúrate de que tus prácticas de protección de
datos cumplan con sus requisitos y que tenga derecho a auditarlos.

Capacita a tus empleados para asegurarte de que entiendan sus prácticas de protección de datos y
su importancia.

¿Qué hacer en caso de robo de datos?

Hiciste todo bien. Tomaste todas las medidas posibles para mantener y proteger tu identidad y
luego sucede lo peor. Comienzas a recibir llamadas de cobradores de deudas para cuentas que
nunca abriste y ves líneas de crédito morosas en tu informe de crédito.

Aquí está nuestra lista de verificación de respuesta de robo de identidad.

Limpia tu ordenador

Es posible que no sea obvio de inmediato cómo se robó tu identidad (por ejemplo, malware,
llamadas fraudulentas, violación de datos, etc.). Comienza con un buen programa de
ciberseguridad y escanea tu sistema en busca de posibles amenazas.

Restablece tus contraseñas para cuentas comprometidas y cualquier otra cuenta que comparta las
mismas contraseñas

Pero no debes reutilizar las contraseñas en todos los sitios. Ya sé que es complicado recordar una
contraseña alfanumérica única para todas tus cuentas y servicios en línea. Por eso puedes usar un
administrador de contraseñas.
Los administradores de contraseñas tienen el beneficio adicional de alertarte cuando accedes a un
sitio web falso. Si bien esa página de inicio de sesión para Google o Facebook puede parecer real,
tu administrador de contraseñas no reconocerá la URL y no completará tu nombre de usuario y
contraseña.

Presenta un informe de robo de identidad ante las autoridades

En caso de ser víctima de un robo de datos, debes notificarlo y denunciarlo ante las autoridades de
seguridad y de protección de datos para que estas inicien las correspondientes investigaciones.

Ponte en contacto con tu banco y acreedores

Puedes ser responsable de algunos o todos los cargos fraudulentos y fondos robados si no
informas de inmediato la pérdida o el robo de tarjetas de débito y crédito. Si tu número de cuenta
corriente se ha visto comprometido, es probable que tengas que cerrar la cuenta y abrir una
nueva. Y no olvides actualizar los pagos automáticos vinculados a ese número de cuenta.

Revisa tu archivo de crédito

Debes revisar las listas de morosos para ver si tus datos aparecen en ellas.

Envía una alerta de fraude

Con una alerta de fraude, nadie puede abrir una línea de crédito a tu nombre sin verificar primero
tu identidad. Esto generalmente significa llamarte y hacerte preguntas de identificación que solo
tú sabrás.

Revisa tu bandeja de entrada de correo electrónico cuidadosamente

Los cibercriminales oportunistas saben que millones de víctimas de cualquier violación de datos
esperan algún tipo de comunicación sobre cuentas pirateadas. Estos estafadores aprovecharán la
oportunidad para enviar correos electrónicos de phishing falsificados para que parezcan que
provienen de esas cuentas pirateadas en un intento de que renuncies a información personal.

Utiliza la autenticación multifactor

La autenticación de dos factores es la forma más simple, lo que significa que necesita su
contraseña y otra forma de autenticación para demostrar que eres quien dices ser y no un
cibercriminal que intenta piratear tu cuenta. Por ejemplo, un sitio web puede pedirte que ingreses
tus credenciales de inicio de sesión e ingreses un código de autenticación separado enviado por
mensaje de texto a tu teléfono.

Delito informático de Robo de datos

Qué implica el Delito informático de Robo de Datos

Esta práctica conocida en el mundo informático como el “snooping”, consiste en todas aquellas
acciones que consiguen introducirse en el ordenador y dispositivos electrónicos de la víctima,
concretamente aquellos donde tiene configuradas sus cuentas de correo electrónico, dropbox,
drive, almacenamientos en la nube, etc. Una vez se tiene acceso a todas estas carpetas, que
pueden ser de cualquier contenido, personal o profesional, se realizan copias del contenido e
incluso se eliminan o bloquean los contenidos en el ordenador del propietario.

En muchos casos ambas conductas son usadas para el espionaje industrial y empresarial, muy
utilizado para atacar a las grandes empresas, ni que hablar de las que trabajan con secretos de
propiedad industrial e intelectual.

El contenido al que se accede ilícitamente en muchas ocasiones puede ser usado para conocer la
estrategia de mercado de una empresa, sin que ella jamás sepa de este acceso que se tiene a sus
bases de datos y comunicaciones. También se utiliza para bloquear los contenidos y solicitar
rescates con grandes cantidades de dinero a sus afectados. Y en otros casos como ya hemos visto
en casos de personajes públicos y famosos, se utilizan para chantajear a la víctima con la
revelación del contenido (fotografías, videos, conversaciones…) si no accede a las peticiones del
criminal.