1k filtraciones de datos después, el retraso en la divulgación es peor

Papel y límites de “Have I Been Pwned” (HIBP)

  • Algunos sostienen que HIBP ahora es menos necesario, citando motores de búsqueda de filtraciones alternativos que exponen más detalles.
  • Otros responden que exponer datos en bruto o contraseñas/hashes es peligroso y poco amigable para el usuario; la divulgación limitada de HIBP es intencional.
  • Debate sobre si HIBP beneficia sobre todo a su operador (marca, conferencias, etc.) o a los usuarios, especialmente dadas las afirmaciones del artículo de que muchas filtraciones no causan “ningún daño real”.

Lo que los usuarios quieren después de una filtración

  • Muchos quieren información precisa: qué campos se filtraron (nombre, dirección, teléfono, datos médicos, pagos, SSN frente a datos ficticios).
  • Algunos insisten en que la empresa filtrada, no un tercero, debería proporcionar detalles exactos por usuario.
  • Otros incluso querrían acceso a sus registros filtrados específicos, pero los críticos dicen que eso distribuye aún más datos sensibles.

Regulación, retrasos en la divulgación e incentivos débiles

  • GDPR/CCPA se ven como conceptualmente sólidos pero mal aplicados; las empresas pequeñas y medianas y los gobiernos a menudo afrontan poca o ninguna sanción real.
  • La regla de 72 horas se aplica a notificar a los reguladores, no a las personas; “sin demora indebida” se considera vago y débil.
  • Los incentivos empresariales difieren: el SaaS B2B liderado por fundadores puede verse obligado por los clientes a responder rápido; el B2C de mercado masivo a menudo puede ignorar o minimizar los incidentes.

Ideas sobre responsabilidad y obligación

  • Llamamientos firmes a una responsabilidad monetaria: multas por usuario filtrado, seguro obligatorio contra pérdida de datos, políticas obligatorias de divulgación de vulnerabilidades y tratar la PII como “tóxica” con límites estrictos de retención.
  • Otros advierten que criminalizar los errores o encarcelar a desarrolladores/sysadmins individuales sería contraproducente; la responsabilidad debería centrarse en la dirección y la negligencia.
  • Algunos sugieren un “precio de filtración por usuario” explícito que las empresas deban anunciar y pagar, con multiplicadores por notificación tardía o incompleta.

Estrategias personales de defensa y prácticas de correo electrónico

  • Consejo: asume que cada cuenta acabará filtrándose; usa gestores de contraseñas, contraseñas únicas, 2FA y servicios de alias de correo en lugar de un simple direccionamiento “+”.
  • HIBP admite la supervisión a nivel de dominio, aunque algunas funciones y volúmenes más altos requieren pago; las experiencias sobre límites y precios son mixtas.

Impacto, apatía y percepción del riesgo

  • Varios participantes informan de poco o ningún daño tangible pese a muchos avisos de filtraciones, lo que alimenta el escepticismo sobre si las filtraciones importan.
  • Otros comparten casos graves de robo de identidad, acoso y fraude a largo plazo, y sostienen que los daños son reales pero se distribuyen de forma desigual.
  • Preocupación más amplia: las filtraciones masivas erosionan la utilidad de los datos de identidad, impulsando una autenticación cada vez más invasiva (preguntas KYC, biometría).