Com estan de segures realment les nostres dades?

BarcelonaLes empreses i organismes que pateixen robatoris de dades han desenvolupat un discurs consolador: "Ho hem detectat, hem tapat el forat de seguretat i no tornarà a passar". El problema és que aquest mantra ignora una realitat incòmoda: un cop les dades han estat extretes, és gairebé impossible aturar la seva difusió a la web fosca, on poden circular durant anys. Repassem tres incidents –dos dels quals molt recents, Endesa i Spotify, i un de més antic, el Consorci Sanitari Integral– com a exemples diferents d'aquesta crisi permanent i els esforços corporatius per reduir l’impacte reputacional.

Les dades operatives d’Endesa

Dos dies abans de Reis, un pirata informàtic que s'autodenomina Spain va publicar a BreachForums que havia obtingut més d'1 terabyte d'informació d'Endesa. Presumia d’haver trigat només dues hores i mitja a extreure-les, però la companyia elèctrica va trigar una setmana sencera a notificar-ho als seus clients. El comunicat parlava d'"incident de seguretat" –mai de "robatori"– i s’afanyava a assegurar que les contrasenyes estaven intactes. Ves quin alleujament, quan algú ja té els teus números de DNI, compte bancari, punt de subministrament i domicili complet.

És el robatori clàssic de dades operatives: la informació que una empresa acumula sobre els seus clients per gestionar el servei. Un estudi de la Universitat de Wisconsin indica que el 40% de les notificacions d’escletxes inclouen la frase "no tenim evidència d'un ús indegut". El problema és que les empreses no poden rastrejar què passa amb les dades un cop abandonen els seus sistemes.

A banda, el cas d'Endesa posa en evidència un aspecte inquietant. L’elèctrica ha comunicat a persones que vam deixar de ser-ne clients fa anys que els han robat les nostres dades. Com és que encara les tenien? El laberint normatiu de l'RGPD permet retenir dades d'antics clients durant cinc o sis anys per motius fiscals, però una cosa és conservar-les i una altra protegir-les adequadament. Recordem que l’agència espanyola de protecció de dades ja va multar Endesa amb 6,1 milions d'euros el 2023 per una filtració anterior en què les dades es venien mitjançant anuncis a Facebook (gràcies, Mark Zuckerberg!).

El pirata esmentat afirma tenir 20 milions de registres. Endesa parla de 3 milions. La xifra real de clients actius se situa en uns 10 milions. Aquestes dades ja circulen i alguns clients afectats ja han notificat trucades fraudulentes (vishing) que proven de fer-los canviar de distribuïdora elèctrica.

Spotify: quan el que roben és el producte

Al desembre, la misteriosa web Anna's Archive va anunciar haver "fet una còpia de seguretat" de pràcticament tot Spotify: 256 milions de cançons en metadades i 86 milions de fitxers d'àudio, gairebé 300 terabytes de música. Aquí no parlem de dades operatives sobre clients, sinó del contingut que és la matèria primera del servei. El col·lectiu, conegut per arxivar llibres descatalogats i articles acadèmics, ho presenta com un projecte de "preservació del patrimoni musical de la humanitat".

Spotify va reconèixer l'"accés il·lícit" però va insistir que no s’havia compromès cap dada d'usuari. Va desactivar els comptes utilitzats i va aplicar "noves salvaguardes". El missatge implícit: això no us afecta, seguiu pagant-nos per escoltar. Però 300 terabytes de música ja estan disponibles en torrents, i cap actualització de seguretat no els farà desaparèixer.

Aquest incident en concret planteja qüestions fascinants més enllà del delicte: amb totes les metadades i arxius disponibles, s'obre la possibilitat de crear eines d'anàlisi musical, sistemes de recomanació alternatius o fins i tot plataformes descentralitzades que esquivin el monopoli de Spotify. Aquesta "preservació" que proclama Anna's Archive podria acabar sent una competència inesperada.

Consorci Sanitari: els danys col·laterals que ningú no preveu

El 2022, RansomExx va publicar 52 gigabytes de dades del Consorci Sanitari Integral de Catalunya, extretes en el marc d’un atac ransomware de doble extorsió: abans de xifrar la informació de la víctima per exigir-li un rescat, els delinqüents se’n queden una còpia: DNI de pacients, històries clíniques, fins i tot programacions de guàrdies hospitalàries. L’entitat va descriure la filtració com a "volum reduït de dades". Aquest cas il·lustra el tercer tipus de robatori, potser el més inquietant: els danys col·laterals de dades personals que no haurien de ser mai als sistemes corporatius.

Les notícies se solen centrar en les dades operatives –les de pacients, en aquest cas–, però sovint són tant o més dramàtics els robatoris de documents personals dels empleats. En aquell moment vaig poder examinar una mostra del botí: contenia des de targetes d'embarcament i reserves d'hotel fins a informes escolars o àlbums infantils d'empleats que els havien guardat als servidors de la feina. Aquesta informació íntima, que l'empresa ni tan sols sabia que custodiava, acaba circulant per la mateixa web fosca que les dades oficials.

Un mal irreversible

Totes tres organitzacions van seguir el mateix guió: reconèixer l'incident, assegurar que s'havia "tancat la vulnerabilitat" i minimitzar les conseqüències reputacionals. Però aquestes garanties sobre haver "tapat el forat" són irrellevants quan les dades ja circulen per la web fosca. En aquests mercats clandestins, una identitat completa es ven per entre 15 i 200 euros.

Aquestes bases de dades poden continuar actives durant anys, revenent-se una vegada i una altra, ressorgint en nous atacs cada cop més sofisticats gràcies a la personalització amb IA. Les dades d'Endesa, les metadades de Spotify o els àlbums infantils del Consorci Sanitari no desapareixeran perquè algú hagi actualitzat el seu tallafoc.

Mentre les empreses proclamen que "la seguretat de les dades és una prioritat estratègica", potser caldria fer-se una pregunta més bàsica: a la vista dels resultats, què significa exactament aquesta suposada prioritat? La resposta, en la pròxima notificació de filtració de dades vostres que rebeu. Estarà redactada en un llenguatge impecablement ambigu, us garantirà que les contrasenyes són segures, i us convidarà a "extremar les precaucions". Precaucions que, òbviament, mai no hauríeu d'haver necessitat.