La supuesta violación de datos de 2.900 millones de registros desata la histeria mediática y acciones legales contra los datos públicos nacionales
Los recientes rumores sobre una filtración masiva de datos que involucra a National Public Data (NPD), un importante servicio de verificación de antecedentes, han encendido los medios de comunicación y provocado múltiples demandas. A pesar de la amplia atención que ha suscitado, la verdad detrás de la supuesta filtración sigue rodeada de incertidumbre y hay pocas pruebas concretas que sustenten las acusaciones.
Tabla de contenido
Un tuit que desató una tormenta de fuego
Los primeros rumores de una posible vulneración surgieron el 8 de abril de 2024, cuando un usuario llamado HackManac publicó en X (antes Twitter) sobre la asombrosa cantidad de 2.900 millones de registros supuestamente exfiltrados de las bases de datos de NPD. Según la publicación, los datos, que incluyen registros de ciudadanos de Estados Unidos, Canadá y el Reino Unido, estaban siendo ofrecidos a la venta por un actor de amenazas conocido como USDoD por 3,5 millones de dólares. A pesar de la gravedad de la afirmación, la publicación fue ignorada en gran medida por los principales medios de comunicación y NPD no emitió ninguna respuesta.
A esta publicación inicial le siguió otra el 2 de junio de 2024, de vx-underground, una conocida comunidad de ciberseguridad. Afirmaban haber revisado una muestra de los datos y confirmado su autenticidad. Una vez más, los medios de comunicación y el NPD guardaron silencio.
Las consecuencias legales del inicio de las demandas colectivas
La situación dio un giro dramático el 1 de agosto de 2024, cuando Christopher Hofmann presentó una demanda colectiva contra NPD. Hofmann alegó que su información personal identificable (PII) se había visto comprometida en la filtración, citando una notificación de su servicio de protección contra el robo de identidad. Esta demanda, junto con otras tres presentadas por supuestas víctimas, aún no ha aportado pruebas concretas que vinculen los datos exfiltrados directamente con NPD.
La demanda de Hofmann, que utiliza la publicación de vx-underground como su principal prueba, está plagada de inconsistencias. Por ejemplo, inicialmente atribuye la violación al Departamento de Defensa de los Estados Unidos, pero correcciones posteriores indicaron que un actor de amenazas diferente, conocido como SXUL, podría haber sido responsable. Además, la demanda infla el número de registros de 2.900 millones a "miles de millones de personas", una cifra que supera con creces la población combinada de los Estados Unidos, Canadá y el Reino Unido.
¿Una posible expedición de pesca?
Los expertos sugieren que la demanda podría tener menos como objetivo demostrar la culpabilidad de NPD y más bien obligar a la empresa a proporcionar pruebas de su inocencia. En Estados Unidos, los tribunales pueden exigir a los acusados que revelen información que pueda probar o refutar las acusaciones en su contra. Esta estrategia, a menudo denominada "expedición de pesca", podría ser el objetivo principal del equipo legal de Hofmann.
Ilia Kolochenko, director ejecutivo de ImmuniWeb y experto legal, señaló que este tipo de tácticas son más comunes en Estados Unidos que en Europa, donde la carga de la prueba recae normalmente sobre el demandante. Si el tribunal obliga a NPD a revelar información sobre la supuesta infracción, esto podría acarrear consecuencias importantes para la empresa.
El panorama general y lo que sabemos hasta ahora
A pesar de las acciones legales y el frenesí mediático, todavía no hay pruebas definitivas de que el NPD haya sido víctima de una filtración. Es posible que los datos que circulan tengan su origen en otras fuentes o que hayan sido recopilados a partir de registros públicos, en lugar de haber sido exfiltrados del NPD. Ni siquiera fuentes confiables como Bleeping Computer, que revisó muestras de los datos filtrados, pudieron confirmar que la información provenía del NPD.
Además, la supuesta violación de datos plantea interrogantes sobre el volumen de datos que supuestamente fueron robados. Los expertos han expresado su escepticismo sobre la viabilidad de exfiltrar 2.900 millones de registros sin ser detectados, especialmente dada la naturaleza sensible de la información que maneja NPD.
El futuro incierto: esperando la verdad
Hasta el momento, NPD no ha hecho comentarios sobre la supuesta infracción ni ha hecho ninguna divulgación oficial a los organismos reguladores de Estados Unidos, el Reino Unido o Canadá. La verdad detrás de la infracción solo puede salir a la luz si los tribunales exigen una respuesta formal de NPD.
Mientras tanto, las acusaciones han suscitado una preocupación generalizada y especulaciones. Queda por ver si estas afirmaciones se corroborarán o resultarán falsas, pero la situación sirve como recordatorio de los posibles riesgos asociados a las violaciones de datos en la era digital actual.
Mientras esperamos más información, es fundamental abordar la situación con cautela. Si bien no se puede descartar la posibilidad de una violación de seguridad en NPD, la falta de pruebas concretas significa que la verdad puede ser más compleja de lo que sugieren los titulares.