¿Qué tan peligroso es revelar su fecha de nacimiento y por qué?

El problema con revelar tu cumpleaños no es el cumpleaños en sí mismo, es que le das a las personas un punto de datos más.

Revele su cumpleaños en el sitio A, sus parientes en el sitio B (que proporciona, por ejemplo, el apellido de soltera de la madre), su dirección en el sitio C ... antes de que se dé cuenta, las personas pueden reunir una gran cantidad de información compilada.

Esa información se puede usar para piratear cosas, ya sea directamente mediante formularios de restablecimiento de contraseñas, contraseñas de adivinación, etc., o indirectamente a través de ataques de phishing con spear.

Por ejemplo, un mensaje de cumpleaños de un amigo de la vieja escuela que llega en tu cumpleaños y viene de su nombre sería mucho más convincente que un correo electrónico aleatorio con un enlace que diga "haz clic aquí".

El problema no es el cumpleaños en sí, el problema es que, lamentablemente, muchas empresas y sitios web todavía lo utilizan para fines de verificación. Esta es ciertamente una mala práctica y muchas empresas están cambiando sus políticas solo por esa razón.

Los bancos a veces lo usaban para recuperar una contraseña, pero en los últimos años también han cambiado sus procedimientos significativamente (dependiendo del banco que utilice).

Entonces, para responder a tu pregunta es seguro revelar tu fecha de nacimiento. Preferiblemente, solo lo revela cuando es realmente necesario (por ejemplo, pregunte cada vez si realmente lo necesita), la información no se considera secreta y se le solicitará que la divulgue en ocasiones con fines legítimos. Al igual que con cualquier información personal, lo mejor es divulgarla en la menor cantidad de ocasiones posible. Por otro lado, si se realiza el robo de identidad y el culpable resulta ser alguien que puede recuperar información o realizar una acción con solo dar su cumpleaños (que es fácil de encontrar). Entonces lo más probable es que la empresa sea responsable de no proteger adecuadamente su información personal o de ser negligente en su proceso de verificación. Por supuesto, esto significará que tendrá que lidiar con eso (lo cual es una molestia y requiere mucho tiempo).

  

¿Qué tipo de cosas podría hacer un ladrón de identidad solo con mi cumpleaños?   ¿Puede él, por ejemplo, abrir una cuenta bancaria? ¿Recuperar una contraseña bancaria?   ¿Abrir una tarjeta de crédito? Tomar un préstamo de coche?

Las respuestas a estas preguntas dependen del espacio y el tiempo. Por espacio me refiero a la legislación en diferentes países e incluso el estilo de vida y el bienestar del país en el que alguien está viviendo cuenta mucho. Puede sorprenderse, pero hay muchos países donde incluso tener una cuenta bancaria es un lujo, en cuyo caso nadie tiene que preocuparse si su cumpleaños se revela o no.

Además, cuando se trata de bancos, por ejemplo, se adaptan a la legislación de los países donde están activos. Además, dentro del mismo país, la ley cambia con el tiempo, de modo que cuando dicha información es inútil para una persona nefasta, puede ser interesante de alguna manera en pocos años.

En todos los casos, no hay un sistema relacionado con la seguridad que dependa solo de su fecha de nacimiento para cumplir con cualquier paso de autenticación, ya que puede ser que su fecha de nacimiento ya sea mía según la paradoja de cumpleaños . Pero, por supuesto, cuanto menos reveles sobre ti mismo, más seguro estarás. Pero esto nos llevará a elegir entre ser paranoicos, negligentes o simplemente sabios.

EDIT:

Como usted vive en EE. UU., sabe mejor que yo que su SSN es demasiado importante. En ese caso, después de una breve investigación, encontré que ya hay algunos algoritmos una persona mala puede correr para adivinar su SSN según su cumpleaños y lugar de nacimiento, lo que también lleva a robo de identidad .

En los Estados Unidos, los cumpleaños son asuntos de registro público, y hay muchas bases de datos en línea donde se pueden consultar de forma trivial. En otros países como Italia es aún menos privado. Su fecha de nacimiento se solicita habitualmente en formularios web simples, e incluso se incluye en un currículum vitae.

En esencia, los cumpleaños no son secretos, y no debes tratarlos como si fueran uno solo. Sí, algunos sitios web malos los utilizan para fines de verificación. Pero mantener algo en secreto que no es un secreto es una práctica tonta.

Con el nombre, el cumpleaños y la dirección solos, un atacante podría inspeccionar su buzón para saber en qué banco tiene una cuenta. En su cumpleaños, puede enviarle una carta con el membrete de ese banco que contiene un cupón por su cumpleaños y pedirle que visite un enlace malicioso para canjear el cupón.

Es inverosímil. Pero el punto que estoy tratando de hacer es que debe intentar tanto como sea posible para minimizar la cantidad de información pública porque es posible obtener información adicional de ella. P.ej. obteniendo el nombre de su banco de su dirección.

En segundo lugar, creo que no existe una guía estándar sobre qué información se considera información pública y qué información no lo es. Por ejemplo, ciertos bancos podrían considerar su cumpleaños como información privada y permitirle restablecer su PIN si puede proporcionar el cumpleaños. Un buen ejemplo de esto es el robo de identidad de Matt Honan. En 2012, Apple consideró que los últimos 4 dígitos del número de la tarjeta de crédito era información privada, pero Amazon los consideró información pública. Esto hizo que perdiera toda su vida digital.

Fuente: enlace

En el Reino Unido, un resultado específico de revelar su fecha de nacimiento, dentro de ciertos parámetros, es que pueden encontrar el apellido de soltera de su madre. Desde allí pueden rastrear el matrimonio de tus padres y todos tus hermanos.

Dado su nombre y fecha de nacimiento, puede visitar FreeBMD y, si su nombre es inusual, es posible encontrar detalles de registro. de su nacimiento, incluido el apellido de soltera de su madre (una pregunta de seguridad común). Si su nombre es común, se puede usar un lugar de nacimiento (disponible en Facebook) para limitar su entrada.

Una vez que tengan los nombres de sus padres, podrán, desde el mismo sitio, descubrir los nombres y las fechas de nacimiento de todos sus hermanos. Las copias de los certificados de nacimiento y matrimonio pueden ser compradas por una pequeña tarifa, de la cual algunas más los detalles a veces se pueden derivar.

Desde allí, ahora pueden usar el Registro electoral para rastrear el domicilio y la dirección de su familia.

Esto es claramente un error de información. Una vez que existe una cierta cantidad de información sobre usted, se puede desarrollar más de fuentes a menudo gratuitas.

Descargo de responsabilidad

Esta es una pregunta compleja porque aquí el término de riesgo se puede entender de 2 maneras. Está preguntando el riesgo asociado a la acción de "comunicar la fecha de nacimiento de una persona a una empresa". ¿Está hablando del riesgo global asociado al resultado final de esto? operación o está hablando del riesgo adicional asociado a esta única acción.

Riesgo aislado

A partir de los detalles de su pregunta, está solicitando una evaluación del riesgo que acaba de agregar esta operación.

Dado que una fecha de nacimiento es una información pública, ni secreta ni revocable, No puede cambiar de ninguna manera el riesgo general asociado a esta información. El riesgo asociado con esta operación es entonces: 0.

Riesgo acumulativo

Esto parece sorprendente, pero esto se debe al hecho de que "comunicar la fecha de nacimiento de una persona a una empresa" es un riesgo antes de que alguien comunique su fecha de nacimiento.

El riesgo general asociado a la comunicación de la fecha de nacimiento podría verse como una fórmula simplificada:

falso secreto + mala seguridad + búsqueda cruzada + comunicación personal

y mi estimación de estos en términos de probabilidades agregadas de resultados incorrectos es:

  false secret:            x
+ bad security:            y
                           (this y isn't independant x)
+ crosscheck hunt:         z
                           risk added by hunter of different public
                           information to build a correct identity to attack
                           companies promoting false secrets
+ personnal communication: t
________________________________________________________________________
Total probability of bad:  p = 1 - (1-x)(1-y)(1-z)(1-t)

(Mi estimación bruta personal es que x ≃ 0,1, y ≃ 0,4, z ≃ 0,2, t ≃ 0
lo que conduce a un p ≃ 0,6)

Por la misma razón, desde mi punto de vista personal, El riesgo general asociado con la idea de que un la fecha de nacimiento es un secreto y podría usarse como una autenticación de: 1 (= probabilidad de evento malo = 1 x perímetro de impacto = máx).

Mal ejemplo

Mi banco está usando mi fecha de nacimiento como un mecanismo de identificación. Les expliqué por qué confío en ellos menos que en otros debido a este secreto falso que están vendiendo a clientes ingenuos y al riesgo que están creando.

No cambiaron. Registraron la información muy educadamente.

El riesgo de cambiar de banco aumenta cada día.

El riesgo de que esta mala práctica se haga pública aumenta cada día.

Te recomiendo que leas el libro " Ghost in the Wires" de Kevin Mitnick para obtener una visión reveladora de lo que alguien puede hacer con solo uno. o pocos, puntos de datos. Según su pregunta, alguien también podría tener su nombre y dirección.

Un buen ingeniero social como Mitnick quizás lo use para llamar al administrador de su apartamento y obtener algunos puntos de datos adicionales, como cuándo se mudó, quién es su contacto de emergencia, etc. (Por ejemplo, tal vez se hace pasar por un médico y dice: está en su sala de emergencias y todo lo que tiene es su teléfono celular y su licencia de conducir.) Luego usa esa información para hacerse pasar por un viejo amigo de la universidad que trata de encontrarlo, etc. Cada llamada que hace le da otra pieza hasta que puede recrear una historia suficiente para obtener tu SSN, números de cuenta, etc.

De todos modos, echa un vistazo al libro y entenderás muy rápido por qué incluso la información 1 es suficiente para un buen ladrón de identidad.

En los EE. UU., "nombre y fecha de nacimiento" parecen ser los tokens de autenticación estándar exigidos por los médicos y otros profesionales médicos. Ciertamente, cada vez que llamo a mi médico, me piden esta información, y solo esta información, antes de que hablen sobre algo personal.

Si un atacante tuviera esta información y pudiera adivinar la identidad de su médico (tal vez sea fácil de hacer a partir de su dirección, si vive en una ciudad lo suficientemente pequeña), probablemente podrían suplantarlo con éxito por teléfono. Espero que puedan obtener información sobre sus próximas citas, resultados de pruebas, etc. Obtener un conjunto completo de sus registros puede requerir un poco más de trabajo (tal vez falsificar su firma en un formulario enviado por correo).

Estoy agregando esto como respuesta debido a un respuesta minuciosamente investigada en el sitio Law.SE .

Cotización:

  

En el sitio web de la Corte del Estado de Nueva York, puede leer sobre cómo obtener los registros de antecedentes penales de cualquier persona; son registros públicos para que cualquiera pueda hacer una solicitud sobre cualquier persona. Hay una tarifa de $ 65. Los registros se pueden solicitar en línea y los resultados pueden ser enviados por correo electrónico a usted. Las búsquedas se procesan mediante una coincidencia exacta de nombre y fecha de nacimiento ( énfasis mío - D.H. ).

Otros estados tienen procedimientos muy similares; También se puede solicitar información sobre escrituras y títulos de propiedad. Mientras se registran las solicitudes, una persona determinada tendrá alguna identidad falsa o alternativa para realizar estas solicitudes.

La fecha de nacimiento es solo otra parte de una información de identificación personal (PII). Cualquier dato que pueda identificar a una persona específica. Cuantas más piezas de dicha PII, más fácil es identificarlo o hacerse pasar por usted. Los bancos en mi país hacen 2-3 preguntas personales antes de verificar que usted es el propietario de la cuenta por teléfono.

En cuanto a cómo puede identificarlo a partir de una base de datos anónima (por ejemplo, el sitio de citas, registros de donantes de hospitales con nombres anónimos), diferentes partes de su información pueden aumentar la probabilidad de que el apodo que está usando en realidad sea usted.

No todos los servicios requieren un segundo factor de autenticación (2FA), por lo que conocer la información personal de alguien puede obtener el acceso del atacante a un sistema, a un operador bancario que atiende su registro o a una enfermera que está revisando algún registro médico por teléfono, o en algunos casos, suplantar a una empresa para solicitar pagos a un proveedor.