Lectura 3:00 min

Hackear el buró de crédito. Lecciones de Equifax

Si a una empresa del tamaño de Equifax le ha ocurrido esto, ¿qué puede esperarse de otras compañías financieras? ¿Cuál es el nivel de seguridad de los tres burós acreditados por la Secretaría de Hacienda en México?

domingo 10 de septiembre de 2017 - 22:17

El buró de crédito Equifax metió la pata y permitió que cibercriminales robaran las joyas de la corona de los datos personales: información financiera y patrimonial. El 29 de julio, Equifax descubrió que había sido víctima de un hackeo colosal. Le fue robada información personal de 143 millones de clientes estadounidenses poco más de 40% de la población de ese país. Los hackers tienen en su poder nombre completo de consumidores, fechas de nacimiento, números de tarjetas de crédito, registros del Seguro Social, licencias de conducir, dirección postal. La compañía tardó mes y medio en informar sobre la brecha de seguridad. “En una escala de 1 a 10 en términos de riesgo para los consumidores, esto es un 10”, le dijo Avivah Litan, analista de fraudes en la consultora Gartner, a The New York Times.

Básicamente cualquier persona que tenga contratado un servicio financiero, como una tarjeta de crédito o un financiamiento con alguna cadena minorista, se encuentra en la base de datos de las agencias de información crediticia, diseñadas justamente para medir el riesgo crediticio de los consumidores. Con la información robada a Equifax se puede contratar un crédito hipotecario o uno automotriz, firmar un nuevo servicio de telefonía móvil o liquidar un seguro de gastos médicos. Rick Smith, presidente y director ejecutivo de Equifax, se vio obligado a aparecer en un video en YouTube para tranquilizar a los consumidores y prometer ayuda para proteger su seguridad financiera, además de apoyos en caso de que sean víctimas de algún fraude.

Equifax es una de las tres agencias de información crediticia más grandes de Estados Unidos. Fue fundada en 1899, tiene operaciones en 24 países, incluido México, y emplea a más de 9,900 personas. Su valor de capitalización ronda los 14,800 millones de dólares y pertenece al exclusivo índice bursátil Standard & Poors 500. Tras el aviso del hackeo del jueves pasado, el valor de sus acciones en el NYSE cayeron 13.65%, de 142.72 a 123.23 dólares. Si a una empresa del tamaño de Equifax le ha ocurrido esto, ¿qué puede esperarse de otras compañías financieras? ¿Cuál es el nivel de seguridad de los tres burós acreditados por la Secretaría de Hacienda en México? ¿La Comisión Nacional Bancaria y de Valores (CNBV), responsable de la supervisión de TransUnion, Dun & Bradstreet y Círculo de Crédito, realiza auditorías periódicas sobre la seguridad con la que protegen la información financiera y patrimonial de millones de mexicanos? ¿El andamiaje para proteger a los consumidores es lo suficientemente robusto?

En México basta con una copia de la credencial de elector para cometer abusos siniestros. El robo o suplantación de identidad es uno de los cinco principales fraudes reportados por la Condusef. En enero de 2016, la Procuraduría de Defensa del Contribuyente (Prodecon) expuso un caso ejemplar de robo de identidad en México, que tuvo como consecuencia que la víctima fuera imputada por la autoridad fiscal como deudora de 1,800 millones de pesos de impuestos. Uno que conoció el Inai y por el que sancionó a Nextel por casi 8.5 millones de pesos, en septiembre de 2015, refería que la compañía (o algún empleado con iniciativa) había abierto un contrato de prestación de servicios a una persona que se identificó con los datos personales de otra. Para agregarle dosis de terror a la historia, cuando Nextel se vio imposibilitada de cobrar a la persona cuyos datos fueron usurpados la boletinó a un despacho de cobranza que a su vez la incluyó en una lista negra de deudores de acceso público.

La CNBV emitió el 29 de agosto de 2017 nuevas disposiciones para acreditar la identidad de las personas que contraten servicios financieros, entre ellas una base de datos de huellas dactilares. Las medidas tardaron un año en consensuarse y deberán esperar otro año para ponerse en operación. Los banqueros aseguran que son medidas inútiles si antes no se crea un registro único de identidad. “El robo de identidad no es un tema que ponga en riesgo a ningún banco ni que les haga diferencias en sus utilidades o en su sustentabilidad”, reconoció en julio Jaime González Aguadé, presidente de la CNBV. Cuando la propia autoridad parece resignada a la negligencia de los regulados, ¿qué pueden esperar los consumidores? Equifax debe ser una lección urgente para el sistema financiero de México y una advertencia clara de la importancia de proteger los datos personales en entornos digitales.

Temas relacionados

José Soto Galindo

Periodista. Escribe Economicón, la newsletter sobre privacidad y sociedad de la información de México. Desde 2010 es editor en El Economista. Maestro en Transparencia y Protección de Datos Personales. Su canal de entrevistas en YouTube se llama Economicón.