La fecha de nacimiento NO debe ser una pregunta de seguridad
Usar la Fecha de Nacimiento de una persona como pregunta de seguridad puede generar el efecto contrario: puede ser una gran falla de seguridad.
Me desconcierta por qué un banco me pediría que inicie sesión con una contraseña y también me pregunte mi fecha de nacimiento (DOB). Entonces el banco (o tal vez no) llama por teléfono con conversaciones estúpidas como esta:
Teléfono: ¿Puedo hablar con el Sr. Kendall?
A mí: Sr. Kendall hablando
Teléfono: Antes de continuar, ¿puede decirme su fecha de nacimiento y código postal, por favor?
A mí: ¿Quién eres?
Teléfono: No puedo decírtelo a menos que me digas tu fecha de nacimiento y código postal.
A mí: ¿De que se trata?
Teléfono: Es un asunto confidencial. Tengo que pasar seguridad antes de decirte nada. Necesito su fecha de nacimiento y código postal
Yo (en un estado de ánimo cauteloso y consciente de la seguridad): Largarse.
La inferencia es que si conozco la fecha de nacimiento y el código postal de otra persona, puedo pasar sus pruebas de seguridad.
Su fecha de nacimiento es probablemente la pieza de información “confidencial” más fácil de averiguar, pero muchas empresas financieras la utilizan como pregunta de seguridad. ¿Por qué vincular tantos registros a un DOB?
¿Qué pasa con este escenario (totalmente ficticio). Fred realmente no existe y tiene suerte de que no exista.
Conducía a casa y vi una casa a la vuelta de la esquina con una gran pancarta: ‘Feliz cumpleaños Fred – 40 hoy’.
Parece bastante inofensivo a primera vista, pero es suficiente para causarle varios problemas a Fred. Ahora sé que alguien llamado Fred vive en esa casa. Conozco el código postal. Tomé nota de la matrícula de su coche. Si Fred tiene 40 años hoy, no se necesitan muchas matemáticas para calcular su fecha de nacimiento.
Una vez en casa, no me toma mucho tiempo encontrar a Fred en línea; hay muchos recursos gratuitos para empresas y puedo encontrar el nombre completo de Fred en su fecha de nacimiento y código postal. Lo puedo encontrar en Facebook, sí, los partidos de cumpleaños; Ahora tengo fotografías de él y sé los nombres de su familia y los nombres de sus mascotas, un montón de buen forraje de contraseñas allí. Por Twitter conozco sus movimientos e incluso me entero de que mañana se va de vacaciones en familia el fin de semana. Por LinkedIn, conozco su(s) trabajo(s) y su educación anterior. Sé cuándo se mudó a su casa, cuánto pagó por ella y cuánto vale ahora. Por Google Maps sé que hay una piscina en el jardín trasero.
Me tomó solo 10 minutos descubrir todo esto. Hasta ahora no he hecho nada ilegal. Sin phishing, sin mentiras, sin piratería, sin búsquedas pagas, sin revisar sus contenedores. Tengo suficiente información para escribir un libro sobre Fred, y todo está disponible públicamente gracias generalmente a las instituciones financieras, el gobierno y las redes sociales; pero tal vez principalmente a Fred, quien sin darse cuenta da demasiada información.
Todo lo que necesitaba era su fecha de nacimiento.
¿Pero es esto culpa de Fred? Seguro que tiene derecho a compartir la fecha de su cumpleaños con amigos y conocidos. Son los bancos y otras instituciones financieras quienes deberían usar algún otro identificador que las personas no necesiten, o incluso deseen, compartir públicamente.
Relacionado:
