2.900 millones de registros que incluyen datos sensibles como los números del seguro social habrían sido robados hace un par de meses desde los repositorios desde National Public Data, una empresa que recopila información para proporcionar verificaciones de antecedentes.
National Public Data (NPD), un proveedor norteamericano que ofrece servicios de verificación de antecedentes y otros servicios de recopilación de información para todo tipo de empresas, confirmó la información que circulaba en varios foros de hackers desde el pasado mes de abril y que daban cuenta de la filtraron una base de datos robada de sus sistemas con miles de millones de datos sensibles de ciudadanos de los Estados Unidos.
Según la empresa, con sede en Florida, informó en su sitio web que “los datos que posiblemente se vieron comprometidos incluyen nombres, correos electrónicos, números de teléfono, números de seguro social y direcciones postales”.
Además, la compañía reconoció que se produjeron “filtraciones de datos en abril de 2024 y en el verano de 2024” (invierno en Chile), y sospecha que la violación está relacionada con un actor malintencionado que intentó acceder a sus sistemas desde diciembre de 2023.
La entidad manifestó que estaban investigado el incidente, colaborado con las autoridades y revisado los registros afectados. Si se producen desarrollos importantes, la empresa intentará notificar a los individuos involucrados.
De acuerdo a medios especializados, las filtraciones comenzaron en abril, cuando un hacker bajo el alias USDoD ofreció vender 2,9 mil millones de registros supuestamente robados de NPD por 3,5 millones de dólares.
El pasado 6 de agosto otro actor de amenazas, identificado como Fenice, liberó de forma gratuita una versión más completa de la base de datos, con 2.700 millones de registros, algunos de los cuales hacían referencia a la misma persona en varias ocasiones.
Aunque una parte considerable de la base de datos robada de National Public Data se filtró hace 10 días, varios actores maliciosos ya habían distribuido versiones parciales.
Aún no se tiene certeza del número exacto de personas afectadas, aunque si se han confirmado casos en los cuales los registros incluían datos tanto de personas vivas, así como persona fallecidos, lo que explica, en parte, el alto volumen de información.
Pese a lo anterior, diferentes medios de tecnologías y algunos expertos de ciberseguridad que han accedido a los datos han chequeado la información encontrando incongruencias, por ejemplo, datos de personas asociadas a información que no correspondía o datos desactualizados.
Pese a estas inconsistencias, el incidente de NPD ha generado al menos una demanda colectiva contra Jerico Pictures, la compañía que gestiona el servicio de datos públicos nacionales.
Se cree que el NPD obtiene su información de fuentes públicas, como registros gubernamentales de diversos niveles de los Estados Unidos (federal, estatal y local), que contienen documentos legales relacionados con personas.
NPD recomendó “encarecidamente” a las personas, que tomaran “medidas preventivas para ayudar a prevenir y detectar cualquier uso indebido de su información” y, como paso inicial, recomendaron al público controlar cuentas financieras e informar las entidades respectivas si observaban “alguna actividad no autorizada”.