Crimen organizado en México, involucrado en vulneraciones a seguridad de datos personales: INAI

Josefina Román Vergara, comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), alertó a los cibernautas a proteger sus datos personales porque “la obtención ilegal de dinero sigue siendo la causa principal de los ataques cibernéticos para robar datos personales en internet”.

En las declaraciones, llevadas a cabo en las conferencias de ciberseguridad 2021 del Instituto Federal de Telecomunicaciones (IFT), también afirmó que el crimen organizado es uno de los actores principales de estos ilícitos que atentan contra el derecho humano a la privacidad.

“Los actores maliciosos continúan siendo la fuerza impulsora del número de vulneraciones que se producen mientras que las bases de datos y los servicios (estén) mal configurados, siendo la principal causa del número de registros (de datos personales) expuestos”, dijo durante la conferencia magistral Vulneración de datos personales en internet y plataformas digitales.

“La motivación financiera sigue siendo la causa más común de ataques, y los principales actores continúan siendo actores externos, es decir, el crimen organizado, y también actores internos; la técnica más utilizada para las vulneraciones a la seguridad de datos personales son el hacking, errores, ataques de ingeniería social y software malicioso, principalmente”, dijo en el evento digital convocado por el IFT y con la participación de la Guardia Nacional y la Secretaría de Seguridad y Protección Ciudadana.

De acuerdo con el Instituto Nacional de Estadística y Geografía (INEGI), el 72% de la población mexicana de seis años en adelante cuenta con internet. Además, Román Vergara mencionó que el riesgo de que exista un mal uso de los datos personales ha crecido notablemente desde el año pasado por la pandemia de COVID-19.

La crisis sanitaria derivó también en un mayor e intensivo uso de plataformas digitales para estudiar, divertirse, y trabajar.

La comisionada del INAI informó que durante el 2020 ocurrieron por lo menos 12 incidentes de seguridad que provocaron la vulneración de datos personales. Entre ellos destacan los registrados entre el 5 y el 11 de julio del 2020, cuando la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), el Banco de México (Banxico) y el Servicio de Administración Tributaria (SAT) sufrieron afectaciones en sus respectivas páginas de internet.

También reveló que entre mayo y junio la Secretaría de la Función Pública sufrió un incidente de seguridad que expuso las declaraciones patrimoniales de 830 mil personas servidoras públicas.

No obstante, no solamente las instituciones públicas de México han sido los objetos de ataques de la “ciberdelincuencia organizada”, señaló Román Vergara. Bancos, empresas financieras tecnológicas o fintech, además de holdings de microfinanzas, han registrado episodios de vulneración digital.

El costo promedio total de una vulneración de datos asciende a USD 3.86 millones, reveló la comisionada al citar el informe del monto de las vulneraciones de datos de 2020 de IBM. Esto incluye “una combinación de costos tanto directos como indirectos relacionados con el tiempo y el esfuerzo para hacer frente a una vulneración, la pérdida de clientes como resultado de la mala publicidad y las multas reglamentarias”.

“Otro costo asociado con una vulneración se relaciona con el tiempo que transcurre entre su identificación y su contención, el cual, de acuerdo con el mismo informe, es de 280 días en promedio”, dijo Román Vergara.

La primera obligación que se tiene es notificar al titular: al menos se debe incluir la naturaleza del incidente, los datos personales comprometidos, las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses, las acciones correctivas realizadas de forma inmediata y los medios donde puede el titular obtener más información al respecto.

Román Vergara informó que el INAI publicó recomendaciones para el manejo de incidentes de seguridad de datos personales, cuyo objetivo es “describir los procesos y controles recomendados por el INAI para generar un plan de respuesta a incidentes de seguridad, el participar para mitigar las vulneraciones a la seguridad; estas recomendaciones ayudarán y orientarán a los responsables para: reconocer las diferencias entre alertas e incidentes de seguridad; elaborar un plan para responder ante incidentes de seguridad, conforme estándares internacionales; utilizar formatos de referencia para documentar los incidentes de seguridad”.

Agregó que “el INAI no está facultado para investigar el robo de identidad (…) corresponde a las autoridades que tienen esta facultad, pero desde el INAI sí podemos investigar el indebido tratamiento de datos personales que esté vinculado, por ejemplo, con el robo de identidad, o con un fraude por la falta de medidas de seguridad para la protección de los datos personales; en una vulneración de datos, una es la parte penal, que se investigue y se lleve a sus últimas consecuencias y otra es la parte que corresponde al INAI, que es la falta de medidas de seguridad que puede llevar a una vulneración de datos personales”.

Por su parte, el Comisario General Luis Rodríguez Bucio, Comandante de la Guardia Nacional, declaró que el distanciamiento social y el confinamiento han traído, como consecuencia, un incremento en el uso del internet en el comercio, el trabajo de oficina, y la educación. Entre más dispositivos y personas se conecten al internet, más importancia adquiere la seguridad digital, dijo, remarcando que se está viviendo un cambio sin precedentes en las formas de comunicación.

“En estas condiciones, el cibercrimen se ha convertido en una preocupación central, por lo que es necesario que los gobiernos incluyan en sus políticas públicas digitales la ciberseguridad, y que las empresas contemplen la gestión proactiva de los riesgos cibernéticos y la privacidad en su planificación y presupuesto de proyectos, así como incrementar la protección de los datos personales”, advirtió.

SEGUIR LEYENDO: