Equifax evidencia los problemas con los números de la seguridad social

Los expertos lo llevan avisando años, pero quizás la masiva filtración de Equifax traiga el asunto al primer plano: ha llegado el momento de que se abandonen los números de la seguridad social (SSNs) como ID nacional en EEUU (o el número del DNI en España), ya que los SSNs son una terrible forma de autentificación. Estas son las razones:

No lo puedes cambiar si está comprometido

El tuit de @SarahJamieLewis lo resume de una manera muy sencilla:

Don't forget to change your name, date of birth, home address and social security number regularly.

— Sarah Jamie Lewis (@SarahJamieLewis) September 7, 2017

Cuando roban tu identidad, la responsabilidad es tuya de monitorizar toda actividad fraudulenta contra tu SSN y permanecer vigilante de que no ocurra nada más sospechoso.

Al contrario que con las tarjetas de crédito, donde solo tienes que notificarlo a la empresa correspondiente para que pare toda su actividad y que te de un nuevo número, si te han robado el SSN tendrás que continuar usándolo el resto de tu vida. Con un poco de suerte, te darán algún tiempo de monitoreo gratis o consejos sobre cómo actuar, pero aparte de eso, estarás solo a la hora de lidiar con el problema y con muy pocas herramientas para luchar, por eso los hackers están deseando hacerse con ellos.

El problema es más grave ya que en EEUU los SSNs están muy ligados a las líneas de crédito, por lo que todo lo que necesita un hacker es información básica (a la que se puede acceder fácilmente online, si no es pública) y el SSN para causar un grave y persistente problema a la víctima, haciendo que le sea imposible conseguir créditos, tarjetas de crédito, hipotecas o seguros. No debería ser tan sencillo poder causar un daño tan grande.

Demasiadas empresas y servicios lo solicitan

El SSN se ha convertido de-facto en el ID nacional por casualidad no por diseño. La Administración de Seguridad Social dice que solo debes dar tu SSN a sus empleados y a instituciones financieras y a nadie más, pero este no es el caso.

El origen del SSN era monitorizar información laboral de los empleados, incluyendo sus ingresos y cuanto habían contribuido a las arcas de la Seguridad Social. En los 70s, el SSN estaba intrínsecamente atado a todas las actividades financieras.

Esto comenzó la bola de nieve ya que a continuación se hizo necesario para muchas actividades como pedir el pasaporte, servicio militar, impuestos, beneficios sociales, donar sangre o en las propias escuelas.

Con el paso del tiempo se ha convertido en una de las maneras más sencilla para monitorizar y verificar la identidad de los ciudadanos americanos.

Pueden ser crackeados o por ingeniería inversa

Se ha probado que el SSN es relativamente sencillo adivinar. Después de todo, los SSNs no se suponían que tenían que ser seguros, solo después de 2011 los tres primeros números no estaban ligados al lugar del nacimiento, en un intento de que fuera más difícil adivinarlo, pero ya era demasiado tarde.

Muchos servicios piden los últimos cuatro dígitos del SSN para probar que eres quien dices. Según un estudio de Javelin, en 2014, el 80% de los 25 principales bancos y el 96% de emisores de tarjetas de crédito permitían la autenticación con el SSN.

Claramente, hay muchas medidas que deben ser tomadas tanto por las empresas como por el gobierno para mitigar los problemas que los ciudadanos sufren cuando ven comprometidos sus SSNs. Esperemos que con la filtración de Equifax se abra el debate y se implementen las políticas necesarias para terminar con este problema.

 
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: