En un país de solo 7 millones de personas, la escala del hackeo significa que casi todos los adultos que trabajan se han visto afectados. El principal sospechoso tiene sólo 20 años.
Asen Genov está bastante furioso. Sus datos personales se hicieron públicos esta semana después de que los hackers robaran los registros de más de 5 millones de búlgaros de la oficina de ingresos fiscales del país.
"Todos deberíamos estar enojados… la información ahora está disponible de manera gratuita para todos. Muchas, muchas personas en Bulgaria ya tienen estos archivos, y creo que no solo están en Bulgaria", dijo Genov, un bloguero y analista político. Sabe que sus datos se vieron comprometidos porque, aunque no es un experto en TI (tecnologías de la información), logró encontrar en línea los archivos robados.
El ataque es extraño, pero no es único.
Lee también: ¿Qué datos facilitamos cuando nos conectamos a un WiFi público?
Las bases de datos del gobierno son ollas de miel para los hackers. Según los expertos, contienen una gran cantidad de información que puede ser "útil" en los próximos años.
"Puedes hacer (tu contraseña) más larga y más sofisticada, pero la información que el gobierno tiene es algo que no va a cambiar", dijo Guy Bunker, experto en seguridad de la información y director de tecnología de Clearswift, una empresa de ciberseguridad.
"Tu fecha de nacimiento no va a cambiar, mañana no te mudarás de casa", dijo. "Mucha de la información que se tomó fue válida ayer, es válida hoy y probablemente será válida para un gran número de personas en un plazo de cinco, 10 ó 20 años".
Las violaciones de datos solían ser encabezadas por hackers altamente calificados. Pero cada vez más no se necesita una operación sofisticada y cuidadosamente planificada para entrar en los sistemas de TI. Las herramientas de hacking y el malware que están disponibles en la web oscura o 'deep web' hacen posible que los hackers aficionados causen enormes daños.
Una estricta ley de protección de datos que entró en vigencia el año pasado en toda la Unión Europea ha impuesto nuevas cargas a cualquier persona que recopile y almacene datos personales. También introdujo multas considerables para cualquiera que administre datos de forma incorrecta, lo que podría abrir la puerta para que el gobierno búlgaro sea multado por el incumplimiento.
Sin embargo, los ataques contra sistemas gubernamentales están en aumento, dijo Adam Levin, el fundador de CyberScout, otra firma de ciberseguridad. "Es una guerra en este momento, una que ganaremos si hacemos de la ciberseguridad un problema de primera línea", dijo.
Te puede interesar: Hay una conocida película: Revelan las peores contraseñas de 2017La idea de que los gobiernos necesitan urgentemente acelerar su juego de seguridad informática no es nueva. Los expertos han hecho sonar las alarmas durante años.
El Departamento de Asuntos de Veteranos de EE.UU. sufrió una de las primeras violaciones de datos importantes en 2006, cuando se comprometieron los datos personales de más de 26 millones de veteranos y personal militar.
"Y fue todo, 'Oh, esto es terrible. Debemos hacer cosas para detenerlo'. … Y aquí estamos, 13 años después, y los datos de todo un país se han visto comprometidos, y en el medio, ha habido incidentes de grandes cantidades de datos de ciudadanos comprometidos en diferentes países", dijo Bunker.
Los sistemas obsoletos son a menudo el problema. Es posible que algunos gobiernos hayan utilizado empresas privadas para administrar los datos que recopilaron antes de que la serie de trucos y trampas llamaran la atención de la ciberseguridad.
"En muchos casos, nuestros datos fueron enviados a contratistas externos hace años", dijo Levin. "La forma en que miramos la administración de datos hace 10 años parece anticuada hoy en día. Sin embargo, los datos antiguos todavía están siendo gestionados por terceros, utilizando sistemas heredados".
Lee también: ¿Quién es el presunto hacker tras las filtraciones de BancoEstado?
Si los "datos antiguos" no han cambiado, aún son valiosos para los hackers.
El incidente de Bulgaria es preocupante, dijo Desislava Krusteva, un abogado búlgaro de protección de datos y privacidad que asesora a algunas de las compañías de tecnología más grandes del mundo sobre cómo mantener segura la información de sus clientes.
"Este tipo de incidentes no deberían ocurrir en una institución estatal. Parece que no requirieron grandes esfuerzos, y es probable que sean los datos personales de casi todos los ciudadanos búlgaros", dijo Krusteva, socio de Dimitrov, Petrov & Co. , una firma de abogados en Sofía.
La Comisión Búlgara para la Protección de Datos Personales dijo que lanzaría una investigación sobre el hackeo.
Un portavoz de la Agencia Nacional de Ingresos no comentó si los datos estaban protegidos adecuadamente.
"Como se está investigando, no pudimos proporcionar más detalles sobre las razones detrás del hackeo", dijo el Director de Comunicaciones, Rossen Bachvarov.
Un agente de seguridad cibernética de 20 años de edad ha sido arrestado por la policía búlgara en relación con el hackeo. La computadora y el software utilizado en el ataque llevaron a la policía al sospechoso, según la oficina del fiscal de Sofía.
El hombre fue detenido y la policía incautó su equipo, incluidos teléfonos móviles, computadoras y discos, dijo la oficina del fiscal en un comunicado. Si es declarado culpable, podría pasar hasta ocho años en prisión.
Te puede interesar: Clonación de tarjetas: Cómo evitarlo y qué hacer si fuiste víctima de fraude"Todavía es demasiado pronto para decir qué sucedió exactamente, pero desde una perspectiva política, es, por supuesto, muy embarazoso para el gobierno", dijo Krusteva.
La vergüenza se agrava por el hecho de que esta no fue la primera vez que el gobierno búlgaro fue atacado. El Registro Comercial del país fue derribado hace menos de un año por un ataque.
"Entonces, al menos durante un año, la sociedad búlgara, los políticos, los que están a cargo del país, sabían bastante bien sobre los graves problemas de seguridad cibernética en las infraestructuras gubernamentales", dijo Genov. "Y no hicieron nada al respecto".