Filtran más de 5 millones de clientes de Glovo

 

 

Me parece lamentable que sucedan este tipo de cosas. Y más lamentable me parece que desde hace muchos años, no se tenga un sistema efectivo para proteger nuestros datos, y peor, que no exista una ley dura que destroce a las empresas que no saben proteger nuestros datos. Más de cinco millones de clientes de Glovo, han visto como sus datos aparecían en la Dark Web. Concretamente se habla de 5.790.564 clientes, de los cuales se han filtrado datos tan sensibles como IBAN, domicilio, email, teléfono…, vamos, todo y más. Ante este tipo de situaciones, y llevamos una cuantas los últimos años, debería existir una ley que destroce a la empresa en cuestión. No me parece ni medio normal lo que pasa.

Visitar LaTeclaTec con bloqueadores de publicidad, es cómo ir a comer a un restaurante e irte sin pagar la cuenta. Eres libre de hacerlo, pero ponernos en la lista blanca de bloqueos hará que lo poco que se gana con tu visita, valga la pena.  Espero que disfrutes del contenido, lo veas de la forma que lo veas, un saludo.

 

El precedente.

Me parece bien que se tenga manga ancha ante la falta de un precedente claro que ponga un punto de inflexión a algo tan grave. Pero es que tenemos una movida muy gorda con PhoneHouse, hace relativamente poco, donde más de 20 millones de datos muy sensibles de usuarios, fueron filtrados. Y hasta donde yo sé, la empresa sigue operando como si nada, cuando le tendría que haber caído una sanción económica que le hubiera tenido que hacer cerrar o cuanto menos, cambiar de nombre para salir viva. Pero no, parece que no les pase nada. Y hablamos de usuarios como yo, con más de 20 años sin actividad con esa empresa, y mis datos están en la filtración. Vamos, que ni RGPD ni mandangas, esto es un puto cachondeo. Ahora los clientes de Glovo, casi 6 millones, viendo como sus datos están corriendo sin control.

¿Qué habría que hacer?

Siempre lo he dicho. ID Única. Que no seas un nombre con apellidos, debes ser un número identificativo. ID12391-2d2. Y ese número, junto con una contraseña de verificación en dos pasos, para acceder a un sitio gestionado por una empresa independiente que gane un concurso para gestionar el tema, y que pida a cualquier empresa o persona, una clave de acceso para datos. Protegernos es relativamente sencillo, y la fórmula que propongo, para colmo, es bastante sencilla de implantar, pese a que tal como la he expuesto, pueda parecer otra cosa. Os voy a poner unos ejemplos sencillos donde veréis que el sistema, aparte de realista y sencillo de aplicar, es fácil de entender y de ejecutar.

Ejemplo.

Quiero tener tu teléfono, cuenta bancaria, dirección postal o lo que sea porque soy una web que vende muebles y has acudido a mi para venderte algo. Necesito ciertos datos para facturar y mandar el producto. Pues el cliente me da su ID. Yo como empresa autorizada y registrada como tal, mando la petición al centro de credenciales (empresa que gestiona el servicio). Esa empresa, recibe una solicitud de dirección, y nombre, manda un mensaje de autorización a la persona, a la cual le llega la petición con los datos solicitados. Se acepta y accede TEMPORALMENTE a esa información. Luego matizamos esta parte. De esa manera, y de manera automatizada y rápida, se otorgan esos permisos TEMPORALES para acceder a los datos.

La temporalidad.

Es importante e imprescindible. Un sistema por el cual, no se estén dando datos físicos, sino un archivo encriptado que, por ejemplo, permita a la empresa de muebles, poner una dirección física en un sistema de GPS, por ejemplo. En el sistema que propongo, no debería existir datos físicos. Eso entiendo que es complicado, pero sería maravilloso. Pero como es prácticamente imposible…, pues que tengan los datos, pero con esa verificación de seguridad previa. De esa manera, se evitan problemas como el de los clientes de Glovo. Con un sistema así, posiblemente esa brecha de seguridad no hubiera existido, y en el caso que exista algo similar, es mucho más sencillo controlar posibles fugas porque sólo hay un sitio para atacar. Cuando los hackers pueden atacar a millones de empresas que quizás no se defienden bien, es sencillo que pasen estas cosas. Cuando sólo existe un punto donde atacar, y ese punto tiene mil defensas…, ya puedes venir con toda la artillería que quieras, que seguramente no vas a conseguir nada.

Una base común de gestión.

Puestos a idear un plan maravilloso, sería bueno que todas las empresas que quieran gestionar nuestros datos, lo hagan con un sistema común, que una vez autorizado acceso a los datos solicitados, no se puedan copiar los datos, que no estén completos, o cosas similares. Que sean temporales y que, pasado el tiempo estipulado por ambas partes, esos datos desaparezcan. De esa manera, evitaríamos mamoneos como el de PhoneHouse, que filtran datos de gente que no ha tenido actividad con ellos hace más e 20 años, como mi caso. Yo sé que estos extras son más complejos de llevar a cabo, especialmente para un país como el nuestro que es un desastre a nivel tecnológico. Pero desde el momento que es viable hacer este tipo de cosas…, hay que ir en esa dirección.

La ID única.

Siempre he defendido este sistema para todo. Y no sólo evitaría problemas como el de los clientes de Glovo, PhoneHouse y compañía. Esto va mucho más allá, y nos daría una tranquilidad en la web y redes sociales que sería maravillosa. Imaginar que existe esa ID única. Y para entrar en redes sociales lo necesitas. La lías en una de ellas, y te banean temporalmente. No puedes acceder más. No como ahora que te banean, abres otra cuenta en menos de dos minutos y sigues a lo tuyo. Con una ID única, eso no pasa, porque tus datos son personales. Si algún tarado te quiere decir los suyos…, él sabrá, ya es otro terreno. Pero todo sería mucho más seguro para todas las partes.

¿Es posible lo que planteo?

Por supuesto. Es más que posible, y lo mejor de todo, cada uno de los pasos que propongo son perfectamente asumibles. Es cierto que algunos costarían más que otros, pero desde el más simple, que es el de una ID única gestionada por una empresa especializada que tenga el concurso durante 5 años por decir algo y que luego se subasten otra vez los derechos y gane el que tenga mejor sistema de protección o el que sea más valorado por los que mandan es posible. Y a partir de allí, la verificación en dos pasos para dejar acceder a empresas a información personal es factible y sencillo de hacer. Todo lo demás…, ya son extras que molarían mucho pero que entiendo que son más complicados de llevar a cabo.

Sanciones ejemplarizantes.

Lo que peor llevo de estas cosas que pasan es que la empresa que tiene esa brecha de seguridad, luego, no pague el pato del fallo. No se cuál debería ser el castigo, y que vaya por delante que entiendo que toda empresa tiene derecho a sufrir un ataque. Pero no es normal que una empresa que gestiona tantos datos sensibles, no tenga una protección acorde a la importancia de los datos y que ese sistema de seguridad sea homologado, externalizado, actualizable y demás movidas. Por poner un ejemplo. 10 millones de euros por cada millón de clientes filtrados, no sé si sería exagerado, pero por descontado, sería ejemplarizante. Y seguramente, haría que empresas que manejan datos sensibles de millones de clientes, se lo pensaran dos veces antes de liarla.

Diversificar datos.

Como todo esto que planteo no va a ir a ningún lado…, que menos que esas empresas que gestionan nuestra información tengan los sistemas encriptados, por descontado, y diversificados. Es decir, que, desde un único lugar, no se tengan acceso a todos los datos juntos. Eso sería maravilloso. Aparte, que esos datos nunca sean completos, es decir, que nunca se tengan accesibles nombre y apellidos completos, cuenta bancaria completa, número de teléfono, dirección…, que ciertos datos tengan una encriptación extra que dificulte todavía más su acceso. Ahora, esos casi 6 millones de clientes de Glovo, verán como en los próximos meses, les empiezan a bombardear a spam malvado. Porque al final, este tipo de datos filtrados, no son extremadamente peligrosos (porque no quieren). Y normalmente se quedan en lo rápido, spam personalizado y listo.

¿Cuál es el grado de peligro?

Como digo, no se suele ir muy a saco con estas filtraciones, pero por descontado, una persona que tiene acceso a tantos datos…, te puede hacer un roto importante. Es por eso que todas las empresas de servicios, deberían tener sistemas de seguridad que impidan hacer cambios sin una verificación en dos pasos. Es decir, con los datos filtrados de los clientes de Glovo, perfectamente, por poner un ejemplo, podría cambiar de tarifa de gas o luz, o darlo de baja. También podría hacer cambios en la fibra, incluso conseguir un terminal ya que dispongo de suficientes datos para hacer gestiones muy concretas. Hay que ir con ojo y por desgracia, en nuestro país no aprendemos la lección. Después de lo grave que fue lo de PhoneHouse, con más de 20 millones de clientes afectados, se deberían de haber sentado unas bases sólidas que nos protegieran de este tipo de ataques. Secciones: 💰 CHOLLOS // ⛑AYUDA // 🎼MUSICA //🎥 SERIES-CINE // 📹 VIDEOS //💬COMENTARIOS

 

Colaborar es fácil, gratis, ¡y tiene premio!

Servicios como Audible o Amazon Music.  nos generan grandes aportes que invertimos SIEMPRE en la web. Colabora, avísanos y te apuntamos en la lista para conseguir premios. Aquí te lo contamos todo. Las suscripciones se pueden cancelar en el momento que quieras y si necesitas asesoramiento no dudes en contactar conmigo en TELEGRAM o mediante cualquier otra vía.

¿Ganas de más?

Suscríbete a nuestro Twitter o canal de Telegram para recibir la mejor actualidad tecnológica.
* Escucha nuestros Podcast y vive la tecnología de otra manera.
* ¿Reseñas o comentarios? Por correo electrónico, en Comentarios Telegram o contacta conmigo directamente Telegram.
Siguenos en Feedly
Escuchanos en Google Podcasts
Escuchanos en Apple Podcasts
Escuchanos en Spotify Podcasts

chevron_left
chevron_right

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentario
Nombre
Correo electrónico
Web

Cookie Consent Banner by Real Cookie Banner