Lectura 6:00 min
Abril, mes negro para la protección de datos en México
En la semana entre el 14 y el 20 de abril se dieron a conocer al menos dos incidentes de exposición de datos de ciudadanos mexicanos. En todo el mes, la suma alcanza a tres incidentes.
Abril fue un mes negro para la protección de datos en México. En la semana entre el 14 y el 20 de abril se dieron a conocer al menos dos incidentes de exposición de datos de ciudadanos mexicanos. El viernes 20, el sitio especializado en tecnología TechCruch informó que el usuario de Twitter @0x55Taylor había descargado 4,700 documentos y miles de archivos con información sensible de un servidor vinculado con la Embajada de México en Guatemala y los había compartido en esta red social.
El domingo 14 de abril, El Economista dio a conocer que empleados de la consultoría internacional KPMG habían descargado comprobantes fiscales digitales del Servicio de Administración Tributaria (SAT) de sus clientes y con ellos habían creado una base de datos que estuvo expuesta en internet. La brecha involucró 4.98 millones de documentos y la información estuvo expuesta entre diciembre del 2018 y enero 2018, por lo que KPMG lamentó el incidente y dijo que trabajaba de manera cercana a sus clientes.
Estos son solo dos casos que se suman a una larga lista de brechas de seguridad que permitieron que información personal e incluso, a veces, sensible, de ciudadanos mexicanos fuera expuesta públicamente en Internet. Otro caso reciente es el del medio digital Cultura Colectiva, que expuso 540 millones de registros de usuarios de Facebook en una base de datos del servicio de nube de Amazon. La brecha, que fue dada a conocer por la compañía de ciberseguridad UpGuard el 3 de abril pasado, expuso comentarios, gustos, reacciones, nombres de cuentas e identificaciones de los seguidores de Cultura Colectiva en sus canales dentro de la red social Facebook.
De acuerdo con el más reciente estudio The Cyber Resilient Organization 2019 del Ponemon Institute, patrocinado por IBM y publicado hace unos días, 55% de las 3,655 organizaciones entrevistadas afirmó haber sufrido la pérdida o el robo de más de 1,000 registros que contienen información personal o confidencial de sus clientes o del negocio. Un tercio de éstas (36%) manifestó que este tipo de incidentes había ocurrido entre dos y tres ocasiones en un año.
En México, según el Data Protection Index de DELL EMC, un tercio de las organizaciones encuestadas dijo haber sufrido la pérdida de información. Para las empresas e instituciones gubernamentales y académicas mexicanas, la pérdida de 2.13 terabytes de información representa un costo promedio de 1 millón 57,593 dólares; esto es tres veces el costo que suponen 20 horas de inactividad en sus operaciones, el cual alcanza sólo 335,935 dólares en promedio.
En todo el mundo, la exposición de datos personales se ha convertido en una desafortunada constante. El sitio HaveIbeenPwned.com, fundado por el actual director regional de Seguridad de Microsoft, Troy Hunt, que registra las direcciones de correo electrónico y contraseñas de usuarios de servicios y sitios web que vieron vulnerada su seguridad -ya sea por negligencia o por un ataque cibernético- cuenta al menos 7,856 millones de cuentas vulneradas en años recientes, cifra mayor a la población total del planeta.
Adobe, AshleyMadison, Avast, Brazzers, DailyMotion, Dropbox, LinkedIn, MySpace, AdultFriendFinder, Patreon, Snapchat, Tumblr, Sony y Yahoo son solo algunos de los más de 300 sitios que han expuesto en internet la información de sus usuarios, sin contar a otro tipo de empresas como la cadena de hoteles Marriot, que en noviembre del 2018, anunció que había expuesto la información de 500 millones de clientes por una vulneración en su base de datos de reservaciones Starwood que duró cuatro años, entre el 2014 y el 2018, o el buró de crédito Equifax, a quien le fue robada información financiera de 149 millones de clientes de Estados Unidos.
En México, la situación no es distinta. Además de que seguramente muchos de estos eventos internacionales afectaron a usuarios mexicanos de estos servicios y empresas -la cuenta de correo electrónico de este reportero se cuenta entre las que aparecen en HaveIBeenPawned.com-, eventos como la venta de la listas nominales de electores estatales y nacionales en sitios de comercio electrónico como Amazon y Mercado Libre y la exposición de millones de registros médicos por parte de la empresa Hova Health y de las instituciones de salud de Michoacán son la muestra de que las brechas de datos personales y sensibles en el país se han vuelto un hábito recurrente.
Sin dejar de mencionar casos emblemáticos como el uso indebido de datos de Facebook por parte de Cambridge Analytica y el robo de datos de 380,000 tarjetas de crédito de la aerolínea British Airways, quizá el caso más relevante de los últimos años en materia de (des)protección de datos personales sea el de la empresa tecnológica de transporte Uber.
En noviembre del 2017, Uber, que recientemente recibió un espaldarazo de 1,000 millones de dólares para su unidad de vehículos autónomos, reveló que la información de 50 millones de usuarios y conductores en todo el mundo había sido secuestrada un año antes, en 2016. Fue hasta marzo del 2018 que la entonces Procuraduría General de la República informó que esta vulneración afectó a alrededor de 900,000 usuarios y conductores de la compañía en México.
Uber es el ejemplo perfecto de lo que no debe hacerse en caso de una brecha de seguridad de la información. La compañía tardó un año en revelar la situación y, según la agencia Bloomberg, pagó un rescate de 100,000 dólares para que eliminara la información robada, sin que exista una garantía de que esto haya ocurrido así. También es un ejemplo de lo que no han hecho las autoridades mexicanas para mitigar la frecuencia de este tipo de incidentes: mientras que en países como Estados Unidos, Gran Bretaña, Francia y Holanda, la compañía de transporte, que está próxima a salir a Bolsa, tuvo que llegar a acuerdos o pagar multas que superaron los 100 millones de dólares por esta vulneración de datos; en México la compañía no ha sido sancionada por alguna autoridad, lo que hace más probable que en adelante haya cada vez más meses negros para la protección de datos en el país.
rodrigo.riquelme@eleconomista.mx