first
  
last
 
 
start
stop

Visita recomendada

datalossdb.org

Alberto Partida
Especialista en Seguridad TI

http://securityandrisk.blogspot.com
http://twitter.com/itsecuriteer

datalossdb.org es un proyecto abierto en Internet por la “Open Security Foundation” con el objetivo de recopilar y publicar pérdidas de datos personales. Su origen se remonta a 2008, cuando David Shettler y compañía se hicieron cargo de la base de datos que mantenía el popular sitio attrition.org. “Open Security Foundation” es también conocida por su base de datos de vulnerabilidades (http://osvdb.org).

 

 

Es un sitio web fácil de seguir. Su portada consta de una barra de menú horizontal que da acceso a 11 secciones; bajo ella, se extiende una gráfica con un eje temporal. Su primera página se divide en dos columnas. Para poder utilizar todos los servicios que ofrecen es necesario registrarse aportando únicamente una dirección de correo electrónico y un nombre de usuario.

 

 

Las secciones de este sitio son las siguientes:

 

  • Primero presentan su razón de ser: Buscan y reciben noticias relacionadas con incidentes de seguridad que hayan comprometido información personal. Añaden estas noticias a su base de datos pública, las anuncian en su twitter “datalossdb” y las envían a su lista de distribución.
  • Segundo, ofrecen la posibilidad de buscar incidentes en su base de datos atendiendo a múltiples criterios como tipo, dimensión o procedencia. Aunque la mayoría de los datos disponibles tienen su origen en Estados Unidos, este servicio es valioso para justificar propuestas de medidas de seguridad con ejemplos de pérdidas reales de datos.
  • Tercero, proporcionan un formulario al visitante para reportar incidentes. No es necesario estar registrado para denunciar una pérdida de datos.
  • Cuarto, invitan al envío de nuevos incidentes que afecten a datos personales.
  • Quinto, dan acceso a colecciones de incidentes procedentes de 16 autoridades relacionadas con el tratamiento legal de datos personales (“Consumer Protection Board” o “Attorney General”) en distintos Estados de EE.UU. Las compañías e instituciones que sufren pérdidas de datos están legalmente obligadas a reportar a alguna de estas entidades. Destaco las de New York, Maryland y Massachusetts por el número de denuncias que publican.
  • Sexto, muestran las leyes sobre protección de datos personales de cada uno de los Estados en EE.UU. 12 de ellos han de mantener un registro de incidentes en los que se hayan expuesto a la luz pública datos personales, 35 requieren la notificación a los afectados pero no tienen un registro centralizado y 4 no contemplan este tipo de legislación.
  • Séptimo, exponen estadísticas y análisis de los tipos de incidentes y de datos comprometidos, el sector afectado y las cifras de cada uno de ellos en distintas ventanas de tiempo. Hasta el momento, el incidente más grande recopilado por este sitio ocurrió en marzo de 2012 y afectó a 150 millones de clientes.
  • Octavo, es posible suscribirse a tres listas de correo, la primera es la principal de este sitio, la segunda es de discusión sobre incidentes y la tercera es un resumen semanal de actividad.

 

Las tres últimas secciones presentan:

 

  • Una página a modo de periódico llamada “the blotter” con incidentes relevantes pero carentes de la información mínima para poder ser introducidos en la base de datos.
  • Un apartado con incidentes extraños o de pequeña entidad por tener un número de afectados limitado o por no referirse a elementos de identidad tan importantes como los números de la seguridad social, las tarjetas de crédito, las cuentas bancarias, los registros médicos o los registros financieros.
  • Una mención a los nombres propios que mantienen este sitio y sus contactos, así como los patrocinadores.

 

En definitiva, el sitio datalossdb.org es una valiosa recopilación de incidentes reales en los que se han comprometido datos personales. Un testimonio de las amenazas que acechan a nuestros datos. Se echa de menos un sitio similar dedicado al entorno europeo. La pregunta final sería ¿aún existe la privacidad en nuestra sociedad?.

 

Documento en PDF

 

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies