18/05/2005 12:27
EMPRESAS ESTADOUNIDENSES PIERDEN MILES DE
DATOS DE CLIENTES Y EMPLEADOS
Los robos y pérdidas de información de personas son
frecuentes también en España pero no se denuncian
Mercè Molist
Desde principios de año, importantes empresas de Estados Unidos
han perdido o les han robado bases de datos con información de
millones de personas. Lo que a primera vista parece una oleada es,
según los expertos, algo normal. La diferencia está en
que nadie lo denunciaba, hasta la aparición de una ley en
California que obliga a las empresas que sufran fugas a darlo a conocer
públicamente.
La ley californiana "Security Breach Information Act" ha destapado la
caja de los truenos de una situación hasta ahora
subterránea: los frecuentes robos y pérdidas de bases de
datos en todo tipo de empresas e instituciones de Estados Unidos. La
ley, que entró en vigor a mediados del año pasado, obliga
a las empresas que realicen negocios en California a avisar a los
usuarios en caso de que la información que almacenan sobre ellos
sea comprometida.
A raíz de su entrada en vigor, empezó una ola de
notificaciones de robos y pérdidas de datos personales que ha
sacudido la opinión pública y ha provocado que el
congreso norteamericano estudie poner en marcha leyes parecidas para
todo el país. El último caso, la semana pasada, cuando
alguién robó datos de los titulares de 40 millones de
tarjetas de crédito de entidades financieras como MasterCard,
Visa o American Express.
Los casos destapados desde principios de año muestran que la
mayoría de empresas ven comprometidas sus bases de datos
informáticas de tres formas: por la pérdida de discos de
"back-up", que suele gestionar una tercera empresa, por la entrada de
intrusos o los propios empleados en los sistemas informáticos y
por el robo de ordenadores.
La desaparición de "back-ups" ha afectado a pesos pesados como
Citibank, que a principios de junio perdía los datos de 3,9
millones de clientes; el Bank of America, que en febrero perdía
información financiera de 1,2 millones de personas; el programa
gubernamental SmartPay, con más de un millón de clientes
afectados; la firma Ameritrade, que perdió en abril los datos de
200.000 clientes, y Time Warner, cuyas cintas de "back-up" con datos de
600.000 empleados se volatilizaban en mayo, durante un transporte.
En cuanto a la entrada en sistemas informáticos, el Bank of
America, junto a otros grandes bancos, es protagonista de uno de los
mayores robos de datos bancarios en EEUU. A finales de mayo se supo que
empleados de estos bancos vendieron información de más de
670.000 clientes.
En febrero, diversas personas se hicieron pasar por clientes de
ChoicePoint para entrar en sus sistemas y llevarse nombres,
direcciones, números de Seguridad Social e informes financieros
de 140.000 usuarios. En marzo, se descubría que habían
usado el mismo truco con Seisint, una filial de LexisNexis, para
llevarse datos de 310.000 personas. El mismo mes, la empresa de calzado
DSW notificaba que les habían robado los números y
nombres asociados a un millón y medio de tarjetas de
crédito.
Las universidades son blanco frecuente de los intrusos
informáticos. Sólo en los últimos tres meses, la
Universidad Estatal de California, el Boston College, la Universidad
George Mason y la Universidad Carnegie Mellon han sufrido robos de
información de miles de alumnos y empleados. Un acceso no
autorizado al proveedor de telefonía móvil T-Mobile
comprometía los datos de 400 clientes, entre ellos estrellas de
Hollywood cuyos números de teléfono se hicieron
públicos en Internet.
En cuanto al robo de ordenadores, hace unas semanas desaparecía
un portátil de MCI, con información personal de 16.500
empleados. En abril, robaban dos máquinas del San José
Medical Group, con información médica y financiera de
185.000 pacientes. En marzo, un contratista del gobierno, Science
Applications International Corp, sufría el robo de diversos
ordenadores con detalles sobre empleados actuales y pasados, entre
ellos secretarios de Defensa y directivos de la CIA.
También en marzo, el robo de un ordenador portátil de la
Universidad de Berkeley comprometía la información
personal de 98.000 personas. La misma universidad había sufrido,
en agosto del año pasado, una entrada en sus sistemas de donde
se llevaron una base de datos con más de un millón de
registros.
La situación en España
Estados Unidos siempre ha destacado por su permisiva legislación
en protección de datos, que empieza a cambiar para acercarse a
la normativa europea, más proteccionista. Esta laxitud
sería la explicación del desbarajuste en sus bases de
datos. Pero, según los expertos consultados por Ciberp@is, la
situación no es mejor en España, sólo que
aquí las empresas no están obligadas a hacer
públicas las fugas.
A nivel europeo, el caso más sonado ha sucedido en el Banco
Central de Rusia, donde en cuatro meses les han robado dos veces las
bases de datos, que contienen todas sus operaciones en los
últimos dos años. Se venden en el mercado negro por 3.000
rublos (85 euros).
En España, el caso más reciente ha sido el Hospital de
Leganés, que estos días se somete a una auditoria
informática, después de detectarse "accesos
atípicos", como la manipulación y el intento de borrado
de algunos registros de sus bases de datos de pacientes.
Según Daniel Cruz, responsable del Departamento de
Planificación de Seguridad de esCERT/InetSecur, "los robos de
datos con información personal suceden también en
España, donde siempre ha existido un mercado de datos. Mucha
veces no son robos de terceros sinó que las fugas provienen de
la propia organización, por errores voluntarios o
involuntarios". El motivo de estos robos, cada vez más
frecuentes según Cruz, suele ser "obtener datos de los clientes
de la competencia".
Albert Gabás, gerente de Astabis Data Management y miembro del
Chaos Computer Club, explica: "Las bases de datos españolas no
son más seguras que las americanas. Aquí siempre se ha
pagado a "crackers" para obtenerlas: en su día daban bastantes
millones por la base de datos de una importante operadora de
móviles". Gabás recuerda que "casi toda intrusión
en un sistema lleva asociado el acceso a la base
de datos de usuarios y contraseñas. Las webs de sexo son uno de
los
principales objetivos, porque tienen suculentos listados de
tarjetas de crédito y poca seguridad".
Mariano José Benito, Director del Departamento de Seguridad de
SGI Soluciones Globales Internet, explica: "Al no ser denunciados, no
hay estadísticas fiables de estos robos en España, pero
la sensación general es que hay incidentes de este tipo con
cierta frecuencia y que han tenido lugar en buen número de
compañías de todos los sectores, desde grandes empresas a
PYMES". Según Benito, el origen son "'spammers', la competencia
e incluso mafias, muy a menudo transnacionales. Se conocen casos de
intentos de estafa basados en datos financieros de un fichero robado".
Una ley estricta, pero poco acatada
La Ley Orgánica de Protección de Datos española es
considerada una de las más estrictas del mundo. La Agencia de
Protección de Datos se encarga de su cumplimiento. Jesús
Rubí, adjunto al director de la Agencia, explica: "Hemos
investigado pérdidas de bases de datos durante un transporte, su
aparición en la vía pública, robos por parte de un
ex socio o empleado, en entidades financieras, hospitales, empresas y
administraciones".
Las multas son ejemplares: entre 60.000 y 300.000 euros, por no tener
implantadas las medidas de seguridad de protección de datos, y
entre 300.000 y 600.000 euros, en caso de pérdida de datos de
nivel alto, como la información médica. Según
Rubí, "hay un conocimiento creciente de la normativa y su
aplicación. Las grandes corporaciones, que tienen las bases de
datos más grandes y complejas, ya cuentan con políticas
al respecto".
El problema, dice, son las PYMES y los pequeños y medianos
ayuntamientos. Lo confirma Albert Gabás: "En la mayoría
de PYMES no desconfían de sus empleados ni de los
informáticos externos, muchas veces sin relación
contractual ni cláusulas de confidencialidad, permiten que todos
puedan acceder a todo y no hay ningún control. Pocas cumplen la
ley".
Daniel Cruz afirma: "El cumplimiento de la LOPD es escaso. El
porcentaje de organizaciones que tienen inscritos sus ficheros en la
Agencia de Protección de Datos no supera el 10% y la
inscripción es la fase más sencilla. En cuanto al
Reglamento de Medidas de Seguridad, su implantación tampoco es
la adecuada porque, en el caso de ficheros de nivel alto, el proceso es
complicado y costoso para las pequeñas empresas y, en general,
las organizaciones descuidan la gestión de su seguridad".
Mariano José Benito añade: "Los hospitales,
compañías de seguros médicos, sindicatos, partidos
políticos, agrupaciones religiosas, tienen en su poder datos del
nivel más alto, que requieren medidas de protección muy
estrictas y caras. La tentación está ahí. En el
sector de la sanidad no tengo constancia de incumplimiento. En el caso
de las PYMES, suele deberse a desconocimiento".
El problema, según Benito, no es que la normativa sea complicada
sinó que "la complicación está en la propia
organización: en muchos casos no queda claro quién se
encarga de qué, en otros las tareas se interfieren entre
sí". De todos modos, dice, "la tendencia general es positiva".
Otro caballo de batalla es la cesión de datos entre empresas,
donde en algunos casos se intenta abusar, explica: "La cesión
sucesiva de datos entre organizaciones hacen que un ciudadano no pueda
saber cómo una entidad desconocida para él tiene sus
datos. Además, hay pequeñas empresas que dan a sus
clientes la falsa confianza de cumplir la ley, cuando sólo lo
hacen desde el aspecto legal, pero no de los controles
tecnológicos".
Daniel Cruz critica que la normativa vigente no garantiza la
confidencialidad de las bases de datos: "Es fundamental el cifrado de
toda la información, en cualquiera de las etapas del ciclo,
desde su entrada, pasando por el almacenamiento y transporte". El
reglamento actual sólo exige cifrado en el transporte de
información de nivel alto. Si los datos robados en Estados
Unidos hubiesen estado cifrados, se habrían evitado muchos
problemas.
LO QUE
PIDE LA LEY
El Real Decreto 994/99, al que deberá adaptarse el actual
Reglamento de Medidas de Seguridad, especifica las medidas
mínimas que una organización que maneje datos personales
debe tener implantadas:
• Correctos sistemas de identificación de
usuarios (correcta gestión de privilegios de usuarios y de las
contraseñas de los mismos)
• Cifrado de las informaciones así como de las
comunicaciones
• Copias de seguridad correctas y con la periodicidad
adecuada.
• Cuidado con las informaciones que las
organizaciones puedan tener en soporte papel.
POR
QUÉ LAS EMPRESAS NO DENUNCIAN EL ROBO DE DATOS
El Computer Security Institute realizó el año pasado una
encuesta a 276 compañías de EEUU para saber por
qué no denunciaban a las fuerzas de la ley los robos en sus
bases de datos. Las respuestas pueden extrapolarse al caso
español.
51%. Por la mala publicidad
35%. Por miedo a que la competencia se aproveche del incidente
20%. Porque un remedio interno parece la mejor opción
18%. Por desconocimento del interés de las fuerzas de la ley en
estos casos
Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<