archivo

Archivo de la etiqueta: vulneraciones de seguridad

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use “password”, su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo “BAA”, que son las siglas para “Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)”. El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente “Factores de Autenticación“: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de “riesgo reforzado” en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

El pasado lunes la CONDUSEF emitió ciertas “recomendaciones” para las para las instituciones de crédito (recordemos que estas se subdividen en “banca múltiple”, “banca de nicho” y “sociedades nacionales de crédito”) en materia de protección de datos personales, mismas que se limitan a lo siguiente:

  1. En caso de que las instituciones tengan conocimiento de que los datos personales de alguno de sus clientes se hayan hecho públicos de forma indebida, deberá de informarle y proceder al cambio de su número de cuenta.
  2. Revisar permanentemente las medidas de seguridad de sus sistemas y procesos de manejo de la información, a fin de garantizar la protección de los datos personales de los usuarios.
  3. Verificar que los terceros con los cuales comparten sus bases de datos para fines de mercadotecnia, o cualquier otra actividad relacionada con su operación, se hagan responsables del correcto manejo y reserva de la información en ellas contenida.
  4. En su caso, iniciar las acciones legales procedentes.

La emisión de las recomendaciones citadas no es realmente de mayor utilidad, por lo obvio y limitado de su contenido, pero tampoco es gratuita; se inscribe entre las consecuencias de la nota publicada por el diario Reforma el pasado 3 de junio de 2013, describiendo la disponibilidad en el mercado negro de bases de datos que presuntamente contienen el Padrón Electoral a cargo del IFE, así como la Informacion Sensible de Usuarios de instituciones de crédito como Banamex y American Express. Más aun, el propio Banamex fue el reciente blanco de la segunda multa impuesta por el IFAI con motivo de la violación de las disposiciones de la Ley Federal de Protección de Datos Personales (LFPDPPP) y su Reglamento (RLFPDPPP).

 
En seguimiento a ello y a otras notas que siguieron el suscrito expuso al Reforma que conforme al artículo 20 de la LFPDPPP las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares deben ser informadas de inmeidato a estos por el Responsable del tratamiento de los datos de que se trate, a fin de que estos puedan tomar las medidas correspondientes a la defensa de sus derechos.
 
 
El Reglamento de la citada Ley puntualiza que tal notificación debe realizarse: (i) en cuanto el Responsable confirme que ocurrió la vulneración y (ii) haya tomado medidas para llevar a cabo una revisión exhaustiva de la afectación, para que los Titulares puedan tomar las medidas correspondientes. Tales medidas deben incluir un análisis de las causas de la vulneración y la implementación de acciones correctivas, preventivas y de mejora de las medidas de seguridad físicas, administrativas y técnicas, según sea el caso, relacionadas en el documento relativo a ellas que todo Responsable tiene obligación de llevar.
 
 
La notificación que reciban los Titulares debería indicarles: (i) naturaleza del incidente; (ii) datos personales comprometidos; (iii) recomendaciones que el Titular pueda adoptar para proteger sus intereses; (iv) acciones correctivas realizadas de forma inmediata y, (v) medios por los que pueda obtener mayor información al respecto. Lo anterior responde a un cambio que necesariamente debe operarse en materia de protección de datos personales en México; el Titular de los datos comprometidos por la vulneración debe reaccionar de manera proactiva ante una notificación de tal naturaleza y adoptar las acciones recomendadas por el Responsable, o bien aquéllas que él mismo considere prudentes.
 
 
Ahora bien, en el particular caso de las instituciones de crédito la “Circular Única de Bancos” emitida por la CNBV prevé que aquéllas que se valgan de medios electrónicos para celebrar operaciones y prestar serviciós deben implementar medidas de seguridad en la transmisión, almacenamiento y procesamiento llevado a cabo a través de dichos canales, para evitar que caiga en manos de terceros; tales medidas incluyen el cifrado y/o truncamiento de información, restricciones a los medios para su transmisión.
 
 
Dicha regulación obliga además a tales instituciones a tener controles para el acceso a bases de datos de operaciones y servicios realizados a través de medios electrónicos, mismo que sólo debe ser concedido a personas expresamente autorizadas con motivo de sus funciones, de lo cual deberá dejarse constancia que indique el período al que se limite el acceso, además de procedimientos seguros para la destrucción de medios de almacenamiento de las bases de datos que contenga información sensible de los usuarios.
 
 
Conviene destacar que la definición de “Información Sensible” en la Circular Única de Bancos no corresponde con la de Datos Personales Sensibles en la LFPDPPP, puesto que aquélla es más amplia que ésta última. En materia bancaria se considera Información Sensible del Usuario a su nombre, domicilio, teléfono o correo electrónico en conjunto con los números de sus tarjetas bancarias, números de cuenta, límites de crédito, saldos, indentificadores de usuario o información de autenticación, mientras que la referida ley considera como datos personales sensibles a los que atañen a la esfera íntima del Titular, o se prestarían a someterlo a discriminación.
 
 
De manera paralela a las acciones que la Ley Federal de Protección de Datos Personales obiga a todos los Responsables a tomar ante una vulneración, la Circular Única de Bancos requiere que las instituciones que supongan o sospechen de un incidente que involucre acceso no autorizado a la Información Sensible del Usuario deben (i) enviar, dentro de los 5 días naturales del incidente y por escrito a la Dirección General de la CNBV que los supervise determinada información, y llevar a cabo una invetigación para determinar si la información ha sido o pudo haber sido mal utilizada, notificando tal situación a los propios usuarios dentro de los 3 días hábiles siguientes para prevenirles de los reisgos derivados del mal uso de su información extraída, extraviada o comprometida, así como de las medidas que deban tomar.
 
 
Adicionalmente la Circular Única de Bancos contiene disposiciones que norman la contratación con terceros de servicios o comisiones para realizar procesos operativos o de administración de bases de datos y sistemas informáticos; tal contratación requiere de un aviso del Director General del banco a la CNBV indicando, entre otras cosas, las medidas a ser implementadas respecto de la vulnerabilidad de la información relativa a los clientes.
 
 
En conclusión, el caso reportado por Reforma seguramente no sólo será materia de investigación por el IFAI, el IFE y las instituciones de procuración de justicia, sino también por el regulador bancario.
Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site