1k filtraciones de datos después, el retraso en la divulgación es peor
Papel y límites de “Have I Been Pwned” (HIBP)
- Algunos sostienen que HIBP ahora es menos necesario, citando motores de búsqueda de filtraciones alternativos que exponen más detalles.
- Otros responden que exponer datos en bruto o contraseñas/hashes es peligroso y poco amigable para el usuario; la divulgación limitada de HIBP es intencional.
- Debate sobre si HIBP beneficia sobre todo a su operador (marca, conferencias, etc.) o a los usuarios, especialmente dadas las afirmaciones del artículo de que muchas filtraciones no causan “ningún daño real”.
Lo que los usuarios quieren después de una filtración
- Muchos quieren información precisa: qué campos se filtraron (nombre, dirección, teléfono, datos médicos, pagos, SSN frente a datos ficticios).
- Algunos insisten en que la empresa filtrada, no un tercero, debería proporcionar detalles exactos por usuario.
- Otros incluso querrían acceso a sus registros filtrados específicos, pero los críticos dicen que eso distribuye aún más datos sensibles.
Regulación, retrasos en la divulgación e incentivos débiles
- GDPR/CCPA se ven como conceptualmente sólidos pero mal aplicados; las empresas pequeñas y medianas y los gobiernos a menudo afrontan poca o ninguna sanción real.
- La regla de 72 horas se aplica a notificar a los reguladores, no a las personas; “sin demora indebida” se considera vago y débil.
- Los incentivos empresariales difieren: el SaaS B2B liderado por fundadores puede verse obligado por los clientes a responder rápido; el B2C de mercado masivo a menudo puede ignorar o minimizar los incidentes.
Ideas sobre responsabilidad y obligación
- Llamamientos firmes a una responsabilidad monetaria: multas por usuario filtrado, seguro obligatorio contra pérdida de datos, políticas obligatorias de divulgación de vulnerabilidades y tratar la PII como “tóxica” con límites estrictos de retención.
- Otros advierten que criminalizar los errores o encarcelar a desarrolladores/sysadmins individuales sería contraproducente; la responsabilidad debería centrarse en la dirección y la negligencia.
- Algunos sugieren un “precio de filtración por usuario” explícito que las empresas deban anunciar y pagar, con multiplicadores por notificación tardía o incompleta.
Estrategias personales de defensa y prácticas de correo electrónico
- Consejo: asume que cada cuenta acabará filtrándose; usa gestores de contraseñas, contraseñas únicas, 2FA y servicios de alias de correo en lugar de un simple direccionamiento “+”.
- HIBP admite la supervisión a nivel de dominio, aunque algunas funciones y volúmenes más altos requieren pago; las experiencias sobre límites y precios son mixtas.
Impacto, apatía y percepción del riesgo
- Varios participantes informan de poco o ningún daño tangible pese a muchos avisos de filtraciones, lo que alimenta el escepticismo sobre si las filtraciones importan.
- Otros comparten casos graves de robo de identidad, acoso y fraude a largo plazo, y sostienen que los daños son reales pero se distribuyen de forma desigual.
- Preocupación más amplia: las filtraciones masivas erosionan la utilidad de los datos de identidad, impulsando una autenticación cada vez más invasiva (preguntas KYC, biometría).