La fecha de nacimiento NO debe ser una pregunta de seguridad

Usar la fecha de nacimiento de una persona como pregunta de seguridad puede generar el efecto contrario: puede ser una gran falla de seguridad.

Me desconcierta por qué un banco me pediría que inicie sesión con una contraseña y también me pregunte mi fecha de nacimiento (DOB). Entonces el banco (o tal vez no) telefonea con estúpidas conversaciones como esta:

Teléfono: ¿Puedo hablar con el señor Kendall?

Yo: Sr. Kendall hablando

Teléfono: Antes de continuar, ¿puede decirme su fecha de nacimiento y código postal?

Yo: ¿Quién eres tú?

Teléfono: No puedo decirte eso a menos que me digas tu fecha de nacimiento y código postal

Yo: ¿De que se trata?

Teléfono: Es un asunto confidencial. Tengo que pasar por seguridad antes de decirte algo. Necesito su fecha de nacimiento y código postal

Yo (en un estado de ánimo cauteloso y consciente de la seguridad): Largarse.

La inferencia es que si conozco la fecha de nacimiento y el código postal de otra persona, puedo pasar sus pruebas de seguridad.

Su fecha de nacimiento es probablemente la pieza de información “confidencial” más fácil de averiguar, sin embargo, muchas empresas financieras la utilizan como pregunta de seguridad. ¿Por qué vincular tantos registros a un DOB?

¿Qué pasa con este escenario (totalmente ficticio)? Fred realmente no existe y tiene suerte de que no lo haga.

Conducía a casa y vi una casa a la vuelta de la esquina con una pancarta grande: “Feliz cumpleaños Fred – 40 hoy”.

Parece bastante inofensivo a primera vista, pero es suficiente para causarle varios problemas a Fred. Ahora sé que alguien llamado Fred vive en esa casa. Conozco el código postal. Noté el registro de su auto. Si Fred tiene 40 años hoy, no se necesitan muchas matemáticas para calcular su fecha de nacimiento.

Una vez en casa, no tardo mucho en encontrar a Fred en línea; hay muchos recursos gratuitos para empresas y puedo encontrar el nombre completo de Fred en su fecha de nacimiento y código postal. Lo puedo encontrar en Facebook, sí, los partidos de cumpleaños; Ahora tengo fotografías de él y sé los nombres de su familia y los nombres de las mascotas, hay muchas buenas contraseñas allí. Por Twitter conozco sus movimientos e incluso me entero de que mañana se va de vacaciones en familia el fin de semana. De LinkedIn conozco su (s) trabajo (s) y educación pasada. Sé cuando se mudó a su casa, cuánto pagó por ella y cuánto vale ahora. Por Google Maps sé que hay una piscina en el jardín trasero.

Solo me ha llevado 10 minutos descubrir todo esto. Hasta ahora no he hecho nada ilegal. Sin phishing, sin mentiras, sin piratería, sin búsquedas pagadas, sin revisar sus contenedores. Tengo suficiente información para escribir un libro sobre Fred, y todo está disponible públicamente gracias en general a las instituciones financieras, el gobierno y las redes sociales; pero tal vez principalmente a Fred, quien sin saberlo da demasiada información.

Todo lo que necesitaba era su fecha de nacimiento.

¿Pero es culpa de Fred? Seguramente tiene derecho a compartir su fecha de cumpleaños con amigos y conocidos. Son los bancos y otras instituciones financieras quienes deberían usar algún otro identificador que las personas no necesitan, o ni siquiera desean, compartir públicamente.