Ticketmaster sufre robo de datos: La peligrosa huella digital que todos dejamos cuando navegamos por la web

“La Oficina Nacional de Ciberseguridad trabaja con Ticketmaster para entender el incidente”, dijo un portavoz del gobierno australiano, encargado de la investigación, en un comunicado.

Ticketmaster fue la empresa encargada de la venta de entradas al concierto de Taylor Swift en España para este 29 y 30 de mayo y maneja la venta de tres fechas en Países Bajos en julio próximo.

Según refieren, la información que ShinyHunters ha robado incluye: nombres, direcciones, números de teléfono y detalles de las tarjetas de crédito (los últimos cuatro dígitos y las fechas de vencimiento) de los clientes de Ticketmaster. Se sabe, además, que los hackers están ofreciendo estos datos robados por un precio de 500.000 dólares.

En una cultura cibernética como la que vivimos actualmente, escuchar el robo masivo de información no es cosa nueva, pero muchas veces no entendemos qué tan peligroso y qué consecuencias se pueden dar con este tipo de maniobras en línea.

Erick Iriarte, experto en derecho digital y Juan Salazar, director de la carrera de Ingeniería de Sistemas de Información de la Universidad San Ignacio de Loyola conversaron con El Comercio para aclarar esta problemática, sus consecuencias y posibles soluciones.

“Una organización puede tener como clientes a personas naturales o personas jurídicas. Si son personas jurídicas, estas en general entran dentro de un tipo de seguridad de la información y tienen una afectación contractual en la mayoría de los casos, pero si los datos vulnerados son de personas naturales, están frente a un problema de Protección de Datos Personales. La ley de datos personales establece que un usuario, en una relación contractual, comercial con alguien, le entrega sus datos a esta entidad para que los resguarde adecuadamente. Si esto no sucede así y hay una brecha de datos personales por una vulneración de la ciberseguridad de la organización, no solamente hay una afectación al individuo en sus datos y por lo tanto aplicables a la legislación de datos personales sino también para la compañía que puede recibir sanciones por no cuidar los datos de estos individuos o afectaciones propias del mercado o de sus accionistas”, nos explica Iriarte para comenzar entendiendo el marco de funcionamiento de este tipo de temas.

Iriarte explica también que los usuarios confían en que plataformas como Tickermaster resguardan sus datos. “Hay un tema de confianza”, sostiene. “Uno de los mecanismos que tienen estas empresas son los mecanismos de seguridad de información: (Algunas bases de datos resguardadas a la que solo algunos tienen acceso o mecanismos para evitar ataques externos). Por ejemplo, una de las cosas que se hace es que las pasarelas de pago sean fuera de la plataforma para de esta manera aumentar el nivel de seguridad. Sin embargo, en casos como los del hackeo a Tickermaster, basta con que se tengan datos básicos de tus clientes (nombre completo, dni, correo electrónico) que puedan asociarse con el nombre y el número de tarjeta de crédito y generar suplantaciones de identidad y acceder a datos financieros de estos usuarios para compras y adquisiciones. En otros casos, se puede acceder a este base de datos para que terceros hagan esas afectaciones”.

Para referirse a este tema, Juan Salazar nos advierte de algo que quizás no nos damos cuenta en un mundo marcado por las comunicaciones y transacciones digitales: de la presencia de la huella digital que dejamos todos cuando navegamos por la web.

“La huella digital es como la huella de carbono que analiza cuánto contaminamos. La huella digital es todo el rastro de nuestras actividades en entornos digitales. (Operaciones en el banco con nuestra tarjeta, el correo, las redes sociales, etc)”. Prácticamente todo está conectado y hay instituciones que nos obligan a dejar nuestros datos. Entonces, el riesgo o peligro está en cuántos datos personales o privados estamos dejando en estas instituciones”, advierte.

¿Por qué se vuelve riesgoso? se pregunta Salazar y concuerda con Iriarte cuando este habla de la facilidad con la que se puede suplantar nuestra identidad y acceder a nuestros datos financieros con información tan básica como nuestro DNI, nombre y apellidos.

“Muchos quizás minimizan y dicen: ‘pero solamente han filtrado mi nombre y mi apellido’ sin saber que actualmente hay métodos o técnicas más sofisticadas donde pueden vincular y encontrar el patrón de comportamiento de cada uno de nosotros”, agrega Salazar.

“Si bien es cierto que el principal riesgo es el financiero, porque teniendo esos datos ya las mafias pueden hacer de las suyas en una primera instancia, lo más preocupante es que esta información es vendida a terceros y a partir de aquí se puede utilizar esta data para muchas cosas. Uno de los medios más rápidos es tratar de buscar tu patrón de comportamiento financiero y a partir de ahí empezar a simular intentos de compra con tus datos de manera triangulada y masiva y ahí es donde está el problema”.

Iriarte agrega en este punto que también que no solo puede tratarse de afectaciones financieras sino que quizás de una afectación personal si es que se sabe donde vive determinada persona.

MIRA TAMBIÉN: Ticketmaster llega al Perú y apunta a destronar a Teleticket y Joinnus: su estrategia y planes en el país

En este sentido este reitera y aclara y que no debemos ver esta problemática como “una simple base de datos que ha sido tomada”. “Si yo obtengo tu nombre, apellidos y DNI de una base, puedo obtener el número de tarjeta de otra base y tu dirección de otra. No hay dato que sea inocuo y mezclado con otros datos que encuentro en la red puedo tener una afectación real”.

Ticketmaster opera en el Perú desde 2023, lo que nos hace preguntarnos si acaso este hackeo masivo puede afectarnos a los peruanos. Iriarte señala que probablemente pueda darse un tipo de hackeo masivo como el de Tickermaster. “Es probable también que dentro de estos 500 millones puede haya algún peruano pero la legislación o el marco regulatorio en este caso está en Estados Unidos”.

“La ley de datos personales en el Perú tiene 13 años. Tenemos una normativa sobre ciberseguridad para el sector público, tenemos una Ley de Ciberdefensa que acaba de ser legalizada hace poco con temas de activos críticos nacionales pero la cultura de ciberseguridad y protección de datos todavía no permea en la población o en las compañías”, señala Iriarte.

“Hace poco, todavía no está público porque está en proceso de análisis, hicimos una primera encuesta sobre cómo están enfrentando las compañías los temas de vulneración de seguridad, si conocen del tema, cuánto es su afectación y cómo esta está impactando económicamente en las compañías. La Superintendencia del Mercado de Valores tiene, por ejemplo, reportes por parte de las entidades que corren en la bolsa y estos son mínimos. No es que haya información porque está existe en la Dark Web, por ejemplo, de brechas que han existido. Entonces, creo que, por un lado, existe un gran desconocimiento y por otro, que la información de las cosas que están ocurriendo no es transparente. Y esto genera que casi nadie reclame porque tampoco se tiene mucho conocimiento de lo que está ocurriendo”.

Sobre este punto, Salazar explica que en el tema de ciberseguridad, las entidades financieras están protegidas hasta cierto punto porque han implementado sus propios protocolos pero hay muchas instituciones que carecen de estos protocolos.

“Nosotros tenemos una ley de protección de datos en el Perú, la 29733 pero como se dice, es letra muerta. Por ejemplo, ahí hay artículos de tratamientos de datos sensibles (imágenes, huella dactilar) y a las empresas les exigen un tratamiento especial para proteger esta data. Sin embargo, esto no se refleja en la realidad”.

Esta carencia legal se ve muy bien reflejada a través de un estudio realizado entre febrero y marzo de 2024, por la empresa especialista en soluciones digitales, eBIZ, en el marco de la Semana Mundial de Internet. La encuesta, elaborada en colaboración con la red de escuelas La Salle en Lima, Ica, Arequipa y Cusco arrojó que la gran brecha entre el conocimiento real de los jóvenes sobre seguridad digital y la percepción de los adultos. El estudio se hizo a más de 781 escolares de primaria y secundaria, junto con 125 maestros.

“Entre los hallazgos más alarmantes se encuentra el hecho de que el 64% de los estudiantes encuestados admitieron compartir datos familiares en línea, a pesar de reconocer (63%) el peligro que esto representa. Asimismo, un preocupante 30% de los encuestados reportaron haber experimentado ciberacoso, mientras que un 40% reconoce el envío de fotos de carácter sexual como prácticas riesgosas”, se lee en el comunicado.

“Adicionalmente, solo el 3% de los estudiantes admitió no saber cómo enfrentar los peligros en línea, el 14% de los maestros consideran que los jóvenes carecen de este conocimiento. Además, la diferencia de percepción sobre el riesgo de compartir datos personales es notable, con un 35% de estudiantes y un 66% de maestros reconociendo la peligrosidad de esta práctica.

¿Qué hacer ante esta problemática? Iriarte y Salazar concuerdan en que hace falta que el Estado comience a generar una cultura de ciberseguridad desde las escuelas.

“En Europa, por ejemplo, cuando enseñan el famoso curso de computación en los colegios, se educa sobre competencias digitales a nivel usuario. Entonces lo que tenemos que generar, por un lado, es una conciencia y una alfabetización en competencias digitales desde el colegio”, advierte Salazar.

Llegados a este punto, podemos decir que el panorama se torna preocupante tanto a nivel nacional como mundial. Ya lo dijo Katina Michael, profesora de ciberseguridad en la Universidad de Wollongong de Australia a AFP. “Los ataques informáticos afectan cada vez a más gente y tienen consecuencias cada vez más graves. El número de víctimas de ciberataques “crecerá, podría llegar a mil millones en el futuro”.

Y esto, según la experta, es porque “gobiernos, empresas y consumidores no hacen suficiente para protegerse o para invertir en mecanismos de seguridad”.