LOADING

Type to search

Actualidad Análisis y Tendencias Seguridad

El “segundo tiempo” de la filtración de datos personales.

Share

             ¿Vale la pena insistir sobre este asunto?

Por: Ramón E. Valdez Seguridad de la Información CEH, CSIH, ISO27001-LA, ITIL ramon.valdez@inters.ec www.inters.ec @ram0nvaldez

 

La filtración de los datos personales de la población ecuatoriana es un tema que se supo hace dos semanas, aunque la semana pasada volvió a hacer noticia cuando se conoció que hay empresas y/o personas que venden datos en línea usando plataformas de comercio electrónico accesibles libremente para cualquier persona. El caso es que este tipo de incidentes tiene consecuencias que pueden ser aprovechadas por terceros por largo tiempo. Los datos fueron expuestos y aparentemente siguen siendo comercializados, habría que investigar si esa base de datos que fuera expuesta todavía la están actualizando o se está usando comercialmente por otros canales y con propósitos desconocidos.

Hay nuevas denuncias y hallazgos, normalmente suele ocurrir en este tipo de casos: cuando un investigador encuentra un fallo o, como en este caso, las huellas de un incidente, luego, muchos otros se enfocan en la búsqueda de otras vulnerabilidades o señales de comprometimiento en el mismo entorno. En este caso, este “segundo tiempo” de búsquedas y hallazgos ya ha dado fruto y se conoce que habría datos que se están comercializando.

Los datos filtrados constituyen información privilegiada y personal, potencialmente es muy peligroso que haya una concentración de información de este tipo en manos de terceros, sobre todo cuando no hay el consentimiento del titular de los datos.

La información puede ser usada con el propósito de implementar campañas de marketing y promoción de productos y servicios, pero también para suplantación de identidad, extorsión y perpetración de crímenes que atenten contra la integridad física de las víctimas. Recordemos, aunque pasaron muchas semanas desde la publicación inicial de la noticia, los datos filtrados siguen bajo control de terceros sin nuestro conocimiento y son potencialmente peligrosos.

El origen de los datos filtrados a través de la empresa Novaestrat es algo que lo debe determinar la Fiscalía, sin embargo, como sociedad, somos muy generosos con los datos personales. Por ejemplo, las organizaciones estatales, a nombre de la “transparencia”, publican datos personales con mucha ligereza, sin tomar en cuenta las consecuencias si esos datos caen en manos equivocadas.

El SRI, por ejemplo, permite obtener información sobre contribuyentes sin necesidad de registrarse, ni iniciar una sesión en su plataforma, sin justificar el uso de los datos y finalmente, sin informar que se está obteniendo una copia de esos datos. Esta información puede ser cotejada por medios técnicos con otras bases de datos que se pueden agregar o consolidar de consultas individuales en otros sistemas de información del mismo Estado.

Pero no solo es el Estado el responsable del manejo ligero de los datos, nosotros mismos pedimos datos como los números de cédula de identidad para infinidad de procedimientos, aún para ingresar a un edificio, un campus o una instalación pública o privada, con frecuencia nos solicitan y entregamos físicamente la cédula de identidad, sin tener cuidado sobre qué trato recibirán los datos. Otorgamos nuestro número telefónico cada vez que alguien lo pide, registramos nuestros datos más allá de lo necesario cuando hacemos consumos usando cualquier medio de pago (no necesariamente electrónico).

En toda esta discusión ni siquiera hemos considerado lo que compartimos en las diferentes redes sociales como Whatsapp, Facebook, Instagram o Twitter (por solo mencionar algunas de las más populares), en esos casos entregamos nuestros datos a terceros que tienen sus operaciones fuera del país, y parte de esa información es publicada para consumo de los usuarios de las respectivas redes sociales.

Como usuarios de sistemas digitales de diversa naturaleza, debemos tener conciencia de que los datos que otorgamos pueden ser usados de formas que no hemos previsto. Evidentemente la idea de considerar un nuevo plano de responsabilidades: la responsabilidad como usuarios digitales, es nueva para muchas personas, pero es algo en lo que debemos pensar, es algo sobre lo que debemos decidir y actuar para protegernos en este nuevo entorno, el digital, que cada vez tiene mayores interacciones con el mundo físico, y que genera nuevas dependencias que serán cada vez mayores para el funcionamiento de los sistemas del mundo real.

Así que, cada persona debe empezar por tratar los datos con más cuidado y considerar la responsabilidad del uso de los propios datos personales como usuario digital, y considerar las potenciales consecuencias que tendría la publicación no autorizada (o filtración) de esos datos antes de ponerlos a disposición de terceros.

Hay un vacío legal que se pretende llenar con el proyecto de ley en el que ha venido trabajando el Ejecutivo, y que evidentemente nos permitirá avanzar en el aspecto formal de este tipo de problemas, puede ser que no sea una ley perfecta, pero es posible que nos dé el enfoque mínimo necesario en cuanto al tratamiento de los datos personales.

El proyecto de ley ecuatoriana busca aclarar la confusión que existe actualmente sobre los datos personales y su uso, establece unas definiciones sobre los datos, y las responsabilidades y derechos de los diferentes actores alrededor del procesamiento de datos personales.

La responsabilidad digital como usuarios de sistemas y generadores de datos personales nos obliga a no considerar este segundo tiempo de la filtración como algo irrelevante o pasado de moda, los datos son persistentes, y debemos actuar en consecuencia, tanto antes de compartirlos como después de que haya habido una filtración.

Tags:

Leave a Comment

Your email address will not be published. Required fields are marked *