Vulneraciones de Seguridad y Factores de Autenticación

 

bugshack

12345Las “Medidas de Seguridad” (Reglamento, art. 57: “control o grupo de controles de seguridad para proteger los datos personales”) es uno de los temas de protección de datos personales que probablemente presenten mayor complejidad en la práctica e implementación, no obstante las Recomendaciones en materia de Seguridad de Datos Personales del IFAI y su Metodología de Análisis de Riesgo BAA. La LFPDPPP es “tecnológicamente neutra”, en tanto que no requiere la implementación de medidas específicas, lo cual tiene todo sentido considerando la amplitud de su ámbito de aplicación, que abarca desde Responsables cuyo Tratamiento de Datos es sumamente elemental, como una tienda que entregue a domicilio o un salón de belleza que tome citas por teléfono, hasta el de aquellos que es sumamente sofisticado, complejo e intensivo en cuanto a datos personales patrimoniales y/o sensibles, como instituciones de crédito o seguros, o prestadores de servicios de salud.

El requerimiento mínimo contemplado en la LFPDPPP (art. 19) es que los Responsables establezcan y mantengan medidas de seguridad administrativas, técnicas y físicas que protejan los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, medidas que no deberán ser menores a las que mantengan para el manejo de su propia información, y  ser determinadas conforme al riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. Ello sin perjuicio de que los responsables tuvieran que implementar medidas de seguridad dispuestas específicamente por las autoridades del sector en el que aquellos operen, si éstas contemplasen una protección mayor para el titular que la dispuesta por la LFPDPPP y su Reglamento.

El hecho es que el cumplimiento normativo en protección de datos personales no se limita a, ni se agota en, la redacción e implementación de avisos de privacidad, de una política de privacidad y la designación de una persona o área a cargo de la protección de datos personales en la organización; el art. 9 del Reglamento hace al deber de seguridad tan obligatorio y vinculante como los son los 8 principios que informan a la Ley. Dependiendo de la complejidad y/o sofisticación del Responsable, puede ser necesario involucrar a uno o más expertos en mitigación de riesgos, seguridad perimetral y/o informática; esto último particularmente considerando la facilidad con la que incluso negocios pequeños o emprendimientos modestos pueden acceder a medios y recursos para lograr presencia en Internet. Por ejemplo, el New York Times reportó desde enero de 2012 sobre vulnerabilidades encontradas en sistemas de videoconferencia en salas de consejo en todo el mundo en los términos siguientes:

Rapid7 discovered that hundreds of thousands of businesses were investing in top-quality videoconferencing units, but were setting them up on the cheap… The most popular units, sold by Polycom and Cisco, can cost as much as $25,000 and feature encryption, high-definition video capture, and audio that can pick up the sound of a door opening 300 feet away. But administrators are setting them up outside the firewall and are configuring them with a false sense of security that hackers can use against them“.

De acuerdo con la citada Metodología BAA, Internet es el entorno de accesos que ofrece mayor nivel de anonimidad (Nivel 5) a un atacante, tal que las tablas matriciales para nivel de riesgo por tipo de dato, nivel de accesibilidad y de anonimidad contenidas en esa Metodología indican con respecto a ellos que “…no se recomienda que existan (tales escenarios). En caso de que su organización presente estos escenarios, es necesario que impida que se presenten accesos directos a estos tipos de datos personales desde redes de terceros, Internet o redes inalámbricas”.

Ello puede poner a los responsables entre la espada y la pared, ya que por una parte la conectividad por medio de Internet incrementa el riesgo al que estén expuestos los datos personales a los que dan tratamiento, y por otra es una necesidad en muchos casos, no sólo por permitir el acceso a un auditorio mayor o a mercados más extensos, sino también por facilitar la realización del trabajo en organizaciones que así lo requieren, ya sea por desplegar a su personal en campo o para facilitar prestaciones de carácter laboral, como licencias de maternidad/paternidad. De ahí la necesidad de ejercer un mínimo deber de cuidado en su implementación y concientizar, mediante una adecuada capacitación, a todo el personal de la organización en las medidas de seguridad que deben cumplir en el desarrollo de sus labores, lo cual atiende precisamente al principio de responsabilidad y deber de cuidado que tienen obligación de observar. Por ejemplo, el New York Times reportó hace 2 semanas que sistemas tales como Microsoft’s Remote Desktop, Apple Remote Desktop and Chrome Remote Desktop, que permiten el “teletrabajo” o “home office”, son escaneados por hackers, quienes al descubrirlos lanzan programas que adivinan credenciales de acceso hasta obtener las correctas, lo cual podría haber sido el medio por el cual se consumaron vulneraciones como las que sufrieron el año pasado las cadenas comerciales Target y Neiman Marcus.

Al respecto debe tenerse en cuenta que los factores de autenticación, tales como nombres de usuario y/o contraseñas de acceso, son también datos personales, categorizados precisamente como “datos de autenticación”, considerados como con “Riesgo Inherente Medio” por la Metodología BAA con la advertencia de “…que las categorías antes descritas se desarrollaron exclusivamente para la aplicación de esta metodología, y no pueden ser consideradas como un criterio emitido por el IFAI. Más aún, el Pleno del Instituto no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trata la información”, y consecuentemente tanto los de los trabajadores o prestadores de servicios de los responsables como los de sus clientes, referencias personales, etc., son objeto de responsabilidad para ellos, por lo que deben ser incorporados en su Sistema de Gestión de Seguridad de Datos Personales.

Hace menos de un mes escribí en este blog sobre la posibilidad de que el uso de factores de autenticación inadecuados o poco robustos (ej. simplemente nombre y apellido, fechas de nacimiento propias o de terceros cercanos, letras o dígitos secuenciales, etc.) podría resultar en la transgresión al principio de responsabilidad que informa a la LFPDPPP y su Reglamento. Lo mismo podría resultar del diseño inadecuado de los sistemas informáticos y/o telemáticos mediante los cuales se dé tratamiento a datos personales; por ejemplo, en un evento de la Asociación Nacional de Abogados de Empresa (ANADE) realizado este año, el Ing. Oscar Lira, jefe del Departamento de Telecomunicaciones e Informática de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR) comentó que uno de los principales aspectos a considerar para la seguridad informática es precisamente que, no obstante ser creados mediante suites como Dreamweaver u otras similares, los sitios web estén “armados” de tal manera que el flujo de la información entre sus partes sea debidamente asegurado. En su opinión, invertir en la contratación de personas debidamente capacitadas para ello es tanto o más importante que invertir en herramientas informáticas, como lo ilustra la nota del New York Times sobre la vulnerabilidad de diversos sistemas de videoconferencia debido a su mala instalación.

Ahora bien, ¿qué sucedería, o qué se debería hacer en caso de que a pesar de haber invertido lo necesario para contar con los recursos necesarios para la correcta implementación del sistema de gestión de seguridad de datos personales se detectaran u ocurrieran vulneraciones al mismo por destrucción, alteración, acceso, sustración o uso no autorizados de los datos de autenticación del personal del responsable y/o de sus clientes? Por ejemplo, hace unos meses fue difundido el caso de “Heartbleed“, una vulnerabilidad encontrada en la biblioteca de criptografía del “Open SSL“, que exponía la llave privada de los servidores usados para implementar medidas de Transport Layer Security, que permiten la comunicación segura en Internet. Básicamente se trata de la tecnología que hace que la indicación “http” en la barra de direcciones del navegador cambie a “https” y se active el conocido ícono del candado, señalando que la comunicación contaba con esa medida de seguridad, y la vulnerabilidad permitía decodificar la información utilizada para proporcionar seguridad a esas comunicaciones, permitiendo montar diversos ataques o usurpar la identidad de los usuarios.

Por otra parte, anteayer medios como el propio New York Times, TIME y El País reportaron que Hold Security descubrió que una organización de hackers llamados CyberVors, presumiblemente rusos, había sustraído los factores de autenticación de 1,200 millones de usuarios de 420,000 sitios de Internet en todo el mundo, así como 500 millones de direcciones de correo electrónico, que también son datos personales, atacándolos con “inyección SQL” realizada mediante “botnets” que “auditaban” los sitios atacados en búsqueda de vulnerabilidades al SQL. De momento parece que los hackers sólo han usado esos datos personales para el envío de spam, pero ello no obstaría para que el día de mañana tal información sea vendida en el mercado negro; en enero de este año una pareja de mexicanos fue detenida en McAllen, TX, con tarjetas de crédito que tenían información producto del ya mencionado ataque que sufrió la minorista Target.

Respecto de ambos casos deben ser considerados los artículos 20 de la Ley así como 64 a 66 de su Reglamento, los cuales respectivamente disponen que:

  • las vulneraciones de seguridad en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares (de datos personales) habrán de serles informadas de forma inmediata por el responsable, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos;
  • se deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
  • dichas notificaciones deben informarle a los titulares cuando menos: (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.
  • el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

La lectura de los artículos arriba citados es importante, puesto que evidencia un módicum de responsabilidad compartida entre el responsable y los titulares ante una vulneración de seguridad, que debe llevarnos a un cambio cultural importante en la protección de datos personales: por una parte, el responsable debe analizar cómo fue que se produjo la vulneración, e implementar las acciones preventivas y correctivas procedentes, además de notificar a los titulares afectados, o potencialmente afectados, al respecto, de manera que estos a su vez puedan reaccionar en protección de sus derechos morales, patrimoniales (nótese que son términos no definidos por la LFPDPPP ni por su Reglamento, y que se encuentran en la Ley Federal del Derecho de Autor), e intereses. En casos así sería interesante analizar la medida en que la culpa o negligencia del responsable, su personal y/o encargados pudieran motivar la imposición de una condena indemnizatoria por vía civil o mercantil.

La citada Guía del IFAI prevé que ante una vulneración los responsables deben identificar: a. Los activos de su sistema de gestión de seguridad afectados; b. Los titulares afectados; c. Las partes interesadas que requieran estar informadas y/o puedan tomar parte en la
toma de decisiones para mitigar las consecuencias de la vulneración. Identificada la vulneración, se debe notificar a los titulares, a través de a través de medios masivos, electrónicos o digitales, incluso de manera personalizada, para que puedan tomar medidas que mitiguen o eviten una posible afectación. Podría también notificarse a las autoridades de protección de datos y/o procuración y/o impartición de justicia, como partes interesadas, para que auxilien en el proceso de mitigación del incidente. Además de la información pertinente sobre la naturaleza del incidente y los datos personales comprometidos, se deben notificar las acciones inmediatas que está tomando el responsable, así como proporcionar mecanismos de atención para que los titulares estén informados y reciban recomendaciones al respecto. Identificada la vulneración y realizadas las notificaciones mencionadas, habrá que profundizar en el análisis de las causas del incidente para establecer medidas correctivas, que incluyan medidas inmediatas para reducir los efectos de la vulneración.

Aunque hay debates en el medio y la práctica, particularmente en los EE.UU.A. sobre si se debería notificar de inmediato o del todo a los titulares sobre un evento de vulneración de seguridad, en un escenario como el de Heartbleed el responsable debería proceder de inmediato a la revocación y renovación de los certificados de seguridad de los sitios web que se supieran o presumieran atacados, recomendando a los titulares de los datos personales tratados por medio suyo actualizar su información y dar seguimiento al uso que pudiera haberse hecho de la misma (compras por internet, modificación del contenido de perfiles en redes sociales, etc.).

En el escenario del ataque de los “CyberVor”, los responsables deberían auditar sus páginas para determinar si eran, o son susceptibles a un ataque por inyección SQL, y de serlo averiguar si fueron afectadas o no. De haberlo sido o serlo, se puede consultar a Hold Security para asesoría en cuanto a si se encuentran entre las empresas afectadas; de estarlo, se debería notificar a los titulares de los datos personales a los que dieran tratamiento a la brevedad posible, recomendándoles modificar sus contraseñas de acceso u otros factores de autenticación, y estar al pendiente de sus tarjetas de crédito, tal vez incluso solicitar la sustitución de las mismas, para monitorear o prevenir su uso indebido. Como titulares, haríamos bien en asumir que nuestros datos personales de autenticación y/o correo electrónico fueron parte del botín de los CyberVor y cambiarlos cuanto antes por nuevos y más robustos, en la medida de lo posible (no todos los sitios permiten cambiar el nombre de usuario, o hacerlo más de una vez).

AAcidPwords

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site