CNBV sabía de la filtración en Buró de Crédito desde diciembre de 2022

La autoridad del sistema financiero de México, la CNBV, fue informada de la vulneración de datos personales y datos financieros de la empresa Buró de Crédito en diciembre de 2022. En ese momento, informó la CNBV en un comunicado hoy, la autoridad “activó el protocolo de seguimiento y monitoreo”.

Buró de Crédito, una agencia privada de calificación crediticia de los deudores del sistema financiero de México, sufrió una vulneración de datos personales y datos financieros a una de las bases administradas por la compañía fechada en 2016.

La información personal sustraída a Buró de Crédito fue vendida en redes sociales, de acuerdo con un mensaje de la compañía publicado en su sitio web el 2 de febrero pasado, confirmó la CNBV: “El 19 de diciembre de 2022, Buró de Crédito informó a la Comisión respecto de la venta de una base de datos en la Deep web (internet oculta). Cabe señalar que el Buró identificó la venta en 2022, pero la base de datos corresponde a 2016”.

La vulneración de datos personales y financieros a Buró de Crédito constituye una violación al secreto bancario o secreto financiero de las personas afectadas. Buró de Crédito es una entidad fuera del paraguas de regulación de la agencia de protección de datos personales, el Inai, por un diseño legal que la exceptúa y deja su supervisión en materia de datos personales a la CNBV y otras autoridades relacionadas con el sistema financiero.

La CNBV (Comisión Nacional Bancaria y de Valores), que preside Jesús de la Fuente Rodríguez, tardó 20 días en dar información al público sobre el incidente notificado por Buró de Crédito, una empresa conocida en la ley financiera como “sociedad de información crediticia”, con las siglas SIC.

“En cuanto tuvo conocimiento del incidente”, la CNBV “requirió información detallada a la SIC Buró de Crédito, a fin de conocer a detalle, las causas del incidente y a partir de esto, determinar las acciones correspondientes”, informó la CNBV en su comunicado de hoy.

La oficina informó que trabaja en sintonía con el Banco de México (Banxico) para “dar seguimiento a las acciones implementadas por esta (Buró de Crédito), para proteger la seguridad de la información y evitar futuros incidentes que pongan en riesgo los datos personales y financieros de las y los usuarios de servicios financieros”.

Y añade: “La Comisión y el Banco de México han procurado en todo momento la protección de la seguridad tanto de las entidades del sistema financiero relacionadas con esta SIC, como de los clientes finales, pertenecientes estos últimos a la población en general”. 

Por estar fuera del régimen de protección de datos personales que vigila el Inai, Buró de Crédito no tiene la obligación de notificar personalmente a los afectados por la filtración de sus datos personales y financieros, lo que reduce la posibilidad de los ciudadanos de tomar medidas personales de protección y remediación.

En el mejor de los casos, la información filtrada puede provocar molestias a los afectados con llamadas de marketing y promociones no deseadas. En el peor de los casos, los datos a la venta pueden utilizarse para extorsionar, suplantar identidad o realizar secuestros. 

La regulación de las sociedades de información crediticia prevé pocos mecanismos de supervisión y control de la seguridad de la información y es imprecisa respecto a las consecuencias legales de una filtración como la ocurrida con Buró de Crédito.

En su comunicado de hoy, la CNBV informó de que Buró de Crédito trabaja con “una empresa especializada en ciberseguridad para evaluar sus sistemas informáticos” y que “no se puede descartar que la vulneración pudiera haberse realizado desde 2016” y posteriormente.

Buró de Crédito creó un sitio web para que las personas puedan verificar por sí mismas si se encuentran entre las afectadas por la filtración: https://wbc4.burodecredito.com.mx:9443/AutenticadorPrev/datosPersonales.faces

Acá mi cobertura sobre el robo de datos a Buró de Crédito:

• Hackear al Buró de Crédito (2 de febrero)
• ¿El Inai puede actuar contra el Buró de Crédito? (7 de febrero)
• ¿Cómo bloquear llamadas de los bancos? (9 de febrero) 
• Buró de Crédito, CNBV y la ley de la selva (19 de febrero)
• Buró de Crédito: sálvese quien pueda (21 de febrero) 
• CNBV sabía de la filtración en Buró de Crédito desde diciembre de 2022 (22 de febrero)
• CNBV sobre Buró de Crédito: sin acuse de recibo (26 de febrero)
• Que se reforme la ley de datos y se incluya al Buró de Crédito, exige la Barra Mexicana Colegio de Abogados (28 de febrero)
• Buró de Crédito lo confirma: no fue hackeo (5 de marzo)
• ¿Cómo tramitar un amparo contra el buró de crédito? (12 de marzo)
• CNBV sobre el robo a Buró de Crédito: ayudar a consumidores toca a Condusef (23 de abril)
• Guardia Nacional sobre Buró de Crédito: preguntas y respuestas (7 de mayo)
• Buró de Crédito debe cumplir con la ley de datos personales, propone MC en Diputados (13 de septiembre)
• Buró de Crédito y filtración de datos personales: feliz aniversario (3 de febrero de 2024)

Entrevistas en YouTube:

• ¿Cómo tramitar un amparo contra el buró de crédito?
• Buró de Crédito: datos personales y secreto bancario
• Buró de Crédito: ¿qué puede hacer la agencia de privacidad?