Una organización sin fines de lucro en Brasil que ayuda a los jóvenes a encontrar pasantías ha sufrido una importante violación de datos, y los atacantes afirman haber accedido a aproximadamente 546 gigabytes de registros privados. La organización, llamada Gerar, conecta a quienes buscan trabajo por primera vez con empresas e instituciones educativas. La violación se reveló cuando apareció una publicación en un foro de filtración de datos que mostraba archivos de muestra de jóvenes solicitantes que datan de varios años.
El material expuesto es profundamente sensible. Según los investigadores que analizaron el conjunto de datos de muestra, la filtración incluye copias escaneadas de informes de chequeos médicos, tarjetas de identidad, contratos entre Gerar y pasantes, contratos entre escuelas y programas de capacitación, e incluso documentos escaneados relacionados con el servicio militar para algunos solicitantes jóvenes.
En el conjunto de archivos de muestra, los investigadores encontraron nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, números de identificación de contribuyentes, direcciones postales, datos de ingresos familiares, detalles de antecedentes educativos y otra información personal. Esos datos por sí solos presentan un riesgo significativo de robo de identidad y fraude.
Debido a que muchos de los afectados son adultos jóvenes que recién ingresan al mercado laboral, el riesgo a largo plazo es particularmente alto. Con tantos detalles personales expuestos, los malos actores podrían abrir cuentas, solicitar préstamos o hacerse pasar por víctimas en los años venideros. Los investigadores advierten que cuando la identidad de alguien se ve comprometida al principio de su carrera, puede tener un impacto duradero en su historial crediticio y oportunidades de empleo.
Gerar ofrece capacitación, pasantías y servicios de emparejamiento para jóvenes brasileños que ingresan a la fuerza laboral. Al hacerlo, recopila grandes volúmenes de datos personales tanto de los solicitantes como de los socios educativos o empleadores. Ese volumen de datos confidenciales, combinado con menos protecciones típicas de los programas orientados a los jóvenes o sin fines de lucro, hace que dicha organización sea un objetivo atractivo.
Al comprometer la base de datos de una organización sin fines de lucro como Gerar, los atacantes obtienen acceso no solo a datos personales sin procesar, sino también a documentos contractuales, materiales de verificación de identidad y credenciales educativas. Todo esto se puede utilizar para ataques secundarios como phishing, creación de credenciales falsas o suplantación de identidad corporativa.
Cómo las organizaciones sin fines de lucro pueden fortalecer la protección de datos
La violación de Gerar demuestra que incluso las organizaciones con buenas intenciones pueden convertirse en puntos de falla en el ecosistema de protección de datos más amplio. Todas las organizaciones sin fines de lucro que recopilan datos personales deben tomarse la ciberseguridad tan en serio como lo hacen las empresas privadas más grandes.
Esto significa limitar la cantidad de datos recopilados, cifrarlos en el almacenamiento y revisar quién tiene acceso a ellos. Las actualizaciones periódicas de software, las pruebas de penetración y la capacitación del personal también pueden prevenir muchas infracciones antes de que ocurran. La comunicación transparente después de un incidente es igualmente importante. Las personas afectadas deben ser informadas rápidamente y recibir consejos prácticos para protegerse.