Para obtener dinero de manera ilegal, el crimen organizado vulnera los datos personales en internet, mediante ataques cibernéticos, y atenta contra el derecho a la privacidad, alertó Josefina Román Vergara, comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
“Los actores maliciosos continúan siendo la fuerza impulsora del número de vulneraciones que se producen mientras que las bases de datos y los servicios (estén) mal configurados, siendo la principal causa del número de registros (de datos personales) expuestos”, indicó la comisionada durante la conferencia Vulneración de datos personales en internet y plataformas digitales.
Por ello, remarcó la importancia de tomar medidas para proteger los datos personales, pues las motivaciones financieras son las causas más comunes de ataques.
“Los principales actores continúan siendo actores externos, es decir, el crimen organizado, y también actores internos; la técnica más utilizada para las vulneraciones a la seguridad de datos personales son el hacking, errores, ataques de ingeniería social y software malicioso, principalmente”, comentó.
- Te recomendamos IFT alista más medidas para elevar la ciberseguridad Negocios
Román Vergara señaló que el riesgo de un mal uso de datos personales aumentó notablemente desde el año pasado pues, a causa de la pandemia de covid-19, ha incrementado el número de usuarios en diversas plataformas digitales, ya sea para trabajar, estudiar o divertirse.
La comisionada refirió que en 2020 ocurrieron al menos 12 incidentes de seguridad, mismos que derivaron en vulneraciones a datos personales. Entre estos casos destacó los ocurridos entre el 5 y el 11 de julio de 2020, cuando las páginas de internet de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), el Banco de México (Banxico) y el Servicio de Administración Tributaria (SAT) sufrieron afectaciones.
Asimismo, mencionó que entre mayo y junio de 2020, la Secretaría de la Función Pública (SFP) sufrió un incidente de seguridad que expuso las declaraciones patrimoniales de 830 mil personas servidoras públicas.
Román Vergara detalló que no sólo las instituciones públicas han sufrido ataques de la ciberdelincuencia organizada. En el ámbito privado han ocurrido vulneraciones digitales de datos personales en bancos o empresas financieras tecnológicas, además de holdings de microfinanzas.
La funcionaria puntualizó, basada en un informe de IBM realizado en 2020, que el costo promedio total de una vulneración de datos alcanza los 3.86 millones de dólares; La cifra incluye costos directos e indirectos relacionados con el tiempo y recursos necesarios para enfrentar una vulneración, la pérdida de clientes y las multas reglamentarias.
“Otro costo asociado con una vulneración se relaciona con el tiempo que transcurre entre su identificación y contención, el cual, de acuerdo con el mismo informe, es de 280 días en promedio” dijo Román Vergara.
- Te recomendamos Investigan a DiDi en China sobre ciberseguridad tras salida a bolsa Negocios
Sostuvo que, en estos casos, las instituciones o empresas tienen la obligación de notificar al titular, con información sobre la naturaleza del incidente, los datos personales comprometidos y brindar sugerencias de protección, entre otras.
La comisionada mencionó que el INAI cuenta con recomendaciones para manejar incidentes de seguridad de datos personales, con los que es posible describir los procesos y controles para generar un plan de respuesta.
"Las recomendaciones ayudarán y orientarán a los responsables para reconocer las diferencias entre alertas e incidentes de seguridad; elaborar un plan para responder ante incidentes de seguridad, conforme estándares internacionales; utilizar formatos de referencia para documentar los incidentes de seguridad”.
Sin embargo, recordó que el INAI no está facultado para investigar el robo de identidad, aunque sí puede indagar el indebido tratamiento de datos personales que esté vinculado, por ejemplo, con el robo de identidad o con un fraude por la falta de medidas de seguridad.
"En una vulneración de datos, una es la parte penal, que se investiga y lleva a sus últimas consecuencias y otra es la parte que corresponde al INAI, que es la falta de medidas de seguridad que puede llevar a una vulneración”.
Por su parte, Luis Rodríguez Bucio, comandante de la Guardia Nacional, señaló que se está experimentando un cambio sin precedentes en la forma en la comunicación, donde el confinamiento y el distanciamiento social han generado un incremento en el uso del internet. Entre más personas y dispositivos se conecten al ciberespacio, más importancia adquiere la seguridad digital, dijo.
“En estas condiciones, el cibercrimen se ha convertido en una preocupación central, por lo que es necesario que los gobiernos incluyan en sus políticas públicas digitales la ciberseguridad, y que las empresas contemplen la gestión proactiva de los riesgos cibernéticos y la privacidad en su planificación y presupuesto de proyectos, así como incrementar la protección de los datos personales”, advirtió.
Actualmente, según el Instituto Nacional de Estadística y Geografía (INEGI), el 72 por ciento de la población mexicana de seis años en adelante, cuenta con internet.
ROA