En un año que ha destacado por las vulneracoines a la seguridad de los sistemas de grandes cadenas comerciales en los EE.UU.A., tales como Target, Home Depot, Staples, JP Morgan Chase, y empresas como Apple (Re. «#CelebGate«), Snapchat (Re: «#Snappening«) y Sony Pictures, una pregunta en la mente de varios de quienes ejercemos en materia de protección de datos personales había sido ¿cómo es que en México no se dan casos así? Las respuestas podrían ser varias. Tal vez a pesar de ser un mercado creciente, muy aspiracional y orientado al lujo, los Responsables (del Tratamiento de Datos Personales) en nuestro país no eran un blanco atractivo para ataques como aquellos. ¿O sus sistemas son tan robustos?
Como para probar que la cuestión no es si una empresa será víctima de un ataque, sino cuándo lo será, en víspera de Nochebuena (a las 13.29 del 24 de diciembre, para ser exactos) la Bolsa Mexicana de Valores difundió a través de su página Web el comunicado de evento relevante que El Puerto de Liverpool, S.A.B., presentó en cumplimiento a sus obligaciones como emisora de valores para dar a conocer que fue «…víctima de un intento de extorsión…» que busca dañar su reputación; el ataque habría consistido en una intrusión en correos de su personal, y habrían también logrado obtener información de algunos clientes, según se indica en la misiva, que también señala que estos hechos delictivos fueron denunciados ante las autoridades correspondientes, estimando que el riesgo derivado de dicha intrusión es bajo, no obstante lo cual están tomando medidas adicionales para reforzar la protección de la información de sus clientes y fortalecer sus sistemas, prácticas y procedimientos, por ser la seguridad de la información que le confían sus clientes es una prioridad, procurando salvaguardar los datos personales y cumplir cabalmente con las leyes de protección de datos.
Dado que el evento fue difundido justo cuando casi todo México se ocupaba más de los preparativos para la cena navideña, los medios dieron cuenta del mismo con sólo la información extraída de dicho comunicado; hoy la sección de Negocios de Reforma informa al respecto con algunos comentarios del suscrito.
La vulneración a JP Morgan, que afectó a 76 millones de cuentahabientes, fue dada a conocer precisamente así, por un «filing» que dicho banco tuvo que hacer ante la Securities and Exchange Commission en EE.UU.A. En tal sentido es preciso destacar la responsabilidad con la que Liverpool ha actuado al notificar del hecho al mercado bursátil (coloca valores en los mercados de capital y deuda), en vez pretender «ocultarlo bajo el tapete» muy disimuladamente. Sin duda el manejo que Liverpool haga del caso sentará un precedente importante en la práctica de protección de datos personales y seguridad informática, por lo cual motivará la atención de todo el medio.
Con tan solo 4 renglones los términos del comunicado a la BMV llevan a pensar en varias cosas:
- «Los criminales lograron una intrusión en correos de nuestro personal y también obtuvieron información de algunos clientes.» Esto hace pensar en un ataque por «phishing» o «spear-phishing«; de ser el caso será importante que Liverpool revise la Política de Privacidad con la que está obligada a contar, de acuerdo con el artículo 48 del Reglamento de la Ley, y refuerce la capacitación a su personal para evitar que vuelvan a ser víctimas de este tipo de ataques de ingeniería social. Tal mención no descartaría otro tipo de ataques, como uno de «brute force«.
-
«Liverpool lamenta informar que ha sido víctima de un intento de extorsión que busca dañar nuestra reputación». Probablemente ésta sea la oración del comunicado que más hace pensar. Los casos en los que además del ataque mismo se lleva a cabo otra conducta delictiva como la extorsión son comunes. Hace tiempo se sabe de casos en los cuales los atacantes bloquean el acceso al equipo o sistema atacado y exigen un pago a cambio de reestablecerlo o no suprimir definitivamente la información del mismo. En el caso del ataque a Sony, hubieron reportes sobre mensajes de extorsión que ejecutivos de la empresa habrían recibido previo al ataque mismo. Sería interesante saber si la referencia al daño de la reputación de Liverpool se debe al solo hecho de haber sido víctima del ataque o a amenazas concretas sobre la información que los atacantes pudieran haber obtenido y del uso que le pretendan dar los atacantes.
- «La empresa ya denunció estos hechos delictivos ante las autoridades correspondientes». Un ataque como el reportado por Liverpool podría configurar el ilícito previsto en el Capítulo II, Título IX, Libro Segundo del Código Penal Federal: «Acceso Ilícito a Sistemas y Equipos de Informática». En términos generales sus artículos 211 bis 1 al 5 disponen penas privativas de la libertad que van de los 6 meses hasta los 8 años y diversas multas, penas y multas cuya magnitud varía dependiendo de si los sistemas atacados son o no del Estado, correspondientes a seguridad pública o de instituciones financieras, a quien(es):
- …sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, y
- …sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.
La estadística de la Procuraduría General de la República por tales delitos entre el 1 de septiembre del 2013 y el 30 de septiembre del presente año arroja que de 66 indagatorias iniciadas sólo 1 fue consignada ante la autoridad judicial, en tanto que 21 fueron enviadas a la reserva, en 6 se resolvió el «no-ejercicio» de la acción penal, y tiene en trámite 70, incluyendo otras iniciadas en años anteriores al periodo consultado.
Será muy interesante ver el empeño con el que Liverpool impulsa el perfeccionamiento de sus indagatorias y la eficacia con la que la representación social federal logra integrarlas para llevar ante la justicia a los responsables. En cualquier caso es un hecho que Liverpool deberá realizar ajustes en su Sistema de Gestión de Datos Personales y medidas de seguridad, pues el artículo 60 del Reglamento prevé entre los elementos para determinarlas a las vulnerabilidades previas ocurridas en los sistemas de tratamiento, además de que de acuerdo con la fracción III de su artículo 62 en tanto Responsable del Tratamiento de Datos Personales Liverpool deberá actualizar la relación de sus medidas de seguridad, cuando ocurran, entre otros eventos, la vulneración de sus sistemas de Tratamiento.
El citado Reglamento también ordena, en su artículo 66, que cuando ocurra una vulneración a los Datos Personales, como fue el caso, el Responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita, lo cual es algo en lo que Liverpool manifiesta ya estar trabajando, o haber trabajado.