18/05/2005 12:27


EMPRESAS ESTADOUNIDENSES PIERDEN MILES DE DATOS DE CLIENTES Y EMPLEADOS

Los robos y pérdidas de información de personas son frecuentes también en España pero no se denuncian

Mercè Molist
Desde principios de año, importantes empresas de Estados Unidos han perdido o les han robado bases de datos con información de millones de personas. Lo que a primera vista parece una oleada es, según los expertos, algo normal. La diferencia está en que nadie lo denunciaba, hasta la aparición de una ley en California que obliga a las empresas que sufran fugas a darlo a conocer públicamente.

La ley californiana "Security Breach Information Act" ha destapado la caja de los truenos de una situación hasta ahora subterránea: los frecuentes robos y pérdidas de bases de datos en todo tipo de empresas e instituciones de Estados Unidos. La ley, que entró en vigor a mediados del año pasado, obliga a las empresas que realicen negocios en California a avisar a los usuarios en caso de que la información que almacenan sobre ellos sea comprometida.

A raíz de su entrada en vigor, empezó una ola de notificaciones de robos y pérdidas de datos personales que ha sacudido la opinión pública y ha provocado que el congreso norteamericano estudie poner en marcha leyes parecidas para todo el país. El último caso, la semana pasada, cuando alguién robó datos de los titulares de 40 millones de tarjetas de crédito de entidades financieras como MasterCard, Visa o American Express.

Los casos destapados desde principios de año muestran que la mayoría de empresas ven comprometidas sus bases de datos informáticas de tres formas: por la pérdida de discos de "back-up", que suele gestionar una tercera empresa, por la entrada de intrusos o los propios empleados en los sistemas informáticos y por el robo de ordenadores.

La desaparición de "back-ups" ha afectado a pesos pesados como Citibank, que a principios de junio perdía los datos de 3,9 millones de clientes; el Bank of America, que en febrero perdía información financiera de 1,2 millones de personas; el programa gubernamental SmartPay, con más de un millón de clientes afectados; la firma Ameritrade, que perdió en abril los datos de 200.000 clientes, y Time Warner, cuyas cintas de "back-up" con datos de 600.000 empleados se volatilizaban en mayo, durante un transporte.

En cuanto a la entrada en sistemas informáticos, el Bank of America, junto a otros grandes bancos, es protagonista de uno de los mayores robos de datos bancarios en EEUU. A finales de mayo se supo que empleados de estos bancos vendieron información de más de 670.000 clientes.

En febrero, diversas personas se hicieron pasar por clientes de ChoicePoint para entrar en sus sistemas y llevarse nombres, direcciones, números de Seguridad Social e informes financieros de 140.000 usuarios. En marzo, se descubría que habían usado el mismo truco con Seisint, una filial de LexisNexis, para llevarse datos de 310.000 personas. El mismo mes, la empresa de calzado DSW notificaba que les habían robado los números y nombres asociados a un millón y medio de tarjetas de crédito.

Las universidades son blanco frecuente de los intrusos informáticos. Sólo en los últimos tres meses, la Universidad Estatal de California, el Boston College, la Universidad George Mason y la Universidad Carnegie Mellon han sufrido robos de información de miles de alumnos y empleados. Un acceso no autorizado al proveedor de telefonía móvil T-Mobile comprometía los datos de 400 clientes, entre ellos estrellas de Hollywood cuyos números de teléfono se hicieron públicos en Internet.

En cuanto al robo de ordenadores, hace unas semanas desaparecía un portátil de MCI, con información personal de 16.500 empleados. En abril, robaban dos máquinas del San José Medical Group, con información médica y financiera de 185.000 pacientes. En marzo, un contratista del gobierno, Science Applications International Corp, sufría el robo de diversos ordenadores con detalles sobre empleados actuales y pasados, entre ellos secretarios de Defensa y directivos de la CIA.

También en marzo, el robo de un ordenador portátil de la Universidad de Berkeley comprometía la información personal de 98.000 personas. La misma universidad había sufrido, en agosto del año pasado, una entrada en sus sistemas de donde se llevaron una base de datos con más de un millón de registros.


La situación en España

Estados Unidos siempre ha destacado por su permisiva legislación en protección de datos, que empieza a cambiar para acercarse a la normativa europea, más proteccionista. Esta laxitud sería la explicación del desbarajuste en sus bases de datos. Pero, según los expertos consultados por Ciberp@is, la situación no es mejor en España, sólo que aquí las empresas no están obligadas a hacer públicas las fugas.

A nivel europeo, el caso más sonado ha sucedido en el Banco Central de Rusia, donde en cuatro meses les han robado dos veces las bases de datos, que contienen todas sus operaciones en los últimos dos años. Se venden en el mercado negro por 3.000 rublos (85 euros).

En España, el caso más reciente ha sido el Hospital de Leganés, que estos días se somete a una auditoria informática, después de detectarse "accesos atípicos", como la manipulación y el intento de borrado de algunos registros de sus bases de datos de pacientes.

Según Daniel Cruz, responsable del Departamento de Planificación de Seguridad de esCERT/InetSecur, "los robos de datos con información personal suceden también en España, donde siempre ha existido un mercado de datos. Mucha veces no son robos de terceros sinó que las fugas provienen de la propia organización, por errores voluntarios o involuntarios". El motivo de estos robos, cada vez más frecuentes según Cruz, suele ser "obtener datos de los clientes de la competencia".

Albert Gabás, gerente de Astabis Data Management y miembro del Chaos Computer Club, explica: "Las bases de datos españolas no son más seguras que las americanas. Aquí siempre se ha pagado a "crackers" para obtenerlas: en su día daban bastantes millones por la base de datos de una importante operadora de móviles". Gabás recuerda que "casi toda intrusión en un sistema lleva asociado el acceso a la base
de datos de usuarios y contraseñas. Las webs de sexo son uno de los
principales objetivos, porque tienen suculentos listados de
tarjetas de crédito y poca seguridad".

Mariano José Benito, Director del Departamento de Seguridad de SGI Soluciones Globales Internet, explica: "Al no ser denunciados, no hay estadísticas fiables de estos robos en España, pero la sensación general es que hay incidentes de este tipo con cierta frecuencia y que han tenido lugar en buen número de compañías de todos los sectores, desde grandes empresas a PYMES". Según Benito, el origen son "'spammers', la competencia e incluso mafias, muy a menudo transnacionales. Se conocen casos de intentos de estafa basados en datos financieros de un fichero robado".


Una ley estricta, pero poco acatada

La Ley Orgánica de Protección de Datos española es considerada una de las más estrictas del mundo. La Agencia de Protección de Datos se encarga de su cumplimiento. Jesús Rubí, adjunto al director de la Agencia, explica: "Hemos investigado pérdidas de bases de datos durante un transporte, su aparición en la vía pública, robos por parte de un ex socio o empleado, en entidades financieras, hospitales, empresas y administraciones".

Las multas son ejemplares: entre 60.000 y 300.000 euros, por no tener implantadas las medidas de seguridad de protección de datos, y entre 300.000 y 600.000 euros, en caso de pérdida de datos de nivel alto, como la información médica. Según Rubí, "hay un conocimiento creciente de la normativa y su aplicación. Las grandes corporaciones, que tienen las bases de datos más grandes y complejas, ya cuentan con políticas al respecto".

El problema, dice, son las PYMES y los pequeños y medianos ayuntamientos. Lo confirma Albert Gabás: "En la mayoría de PYMES no desconfían de sus empleados ni de los informáticos externos, muchas veces sin relación contractual ni cláusulas de confidencialidad, permiten que todos puedan acceder a todo y no hay ningún control. Pocas cumplen la ley".

Daniel Cruz afirma: "El cumplimiento de la LOPD es escaso. El porcentaje de organizaciones que tienen inscritos sus ficheros en la Agencia de Protección de Datos no supera el 10% y la inscripción es la fase más sencilla. En cuanto al Reglamento de Medidas de Seguridad, su implantación tampoco es la adecuada porque, en el caso de ficheros de nivel alto, el proceso es complicado y costoso para las pequeñas empresas y, en general, las organizaciones descuidan la gestión de su seguridad".

Mariano José Benito añade: "Los hospitales, compañías de seguros médicos, sindicatos, partidos políticos, agrupaciones religiosas, tienen en su poder datos del nivel más alto, que requieren medidas de protección muy estrictas y caras. La tentación está ahí. En el sector de la sanidad no tengo constancia de incumplimiento. En el caso de las PYMES, suele deberse a desconocimiento".

El problema, según Benito, no es que la normativa sea complicada sinó que "la complicación está en la propia organización: en muchos casos no queda claro quién se encarga de qué, en otros las tareas se interfieren entre sí". De todos modos, dice, "la tendencia general es positiva".

Otro caballo de batalla es la cesión de datos entre empresas, donde en algunos casos se intenta abusar, explica: "La cesión sucesiva de datos entre organizaciones hacen que un ciudadano no pueda saber cómo una entidad desconocida para él tiene sus datos. Además, hay pequeñas empresas que dan a sus clientes la falsa confianza de cumplir la ley, cuando sólo lo hacen desde el aspecto legal, pero no de los controles tecnológicos".

Daniel Cruz critica que la normativa vigente no garantiza la confidencialidad de las bases de datos: "Es fundamental el cifrado de toda la información, en cualquiera de las etapas del ciclo, desde su entrada, pasando por el almacenamiento y transporte". El reglamento actual sólo exige cifrado en el transporte de información de nivel alto. Si los datos robados en Estados Unidos hubiesen estado cifrados, se habrían evitado muchos problemas.





LO QUE PIDE LA LEY


El Real Decreto 994/99, al que deberá adaptarse el actual Reglamento de Medidas de Seguridad, especifica las medidas mínimas que una organización que maneje datos personales debe tener implantadas:

•    Correctos sistemas de identificación de usuarios (correcta gestión de privilegios de usuarios y de las contraseñas de los mismos)

•    Cifrado de las informaciones así como de las comunicaciones

•    Copias de seguridad correctas y con la periodicidad adecuada.

•    Cuidado con las informaciones que las organizaciones puedan tener en soporte papel.





POR QUÉ LAS EMPRESAS NO DENUNCIAN EL ROBO DE DATOS

El Computer Security Institute realizó el año pasado una encuesta a 276 compañías de EEUU para saber por qué no denunciaban a las fuerzas de la ley los robos en sus bases de datos. Las respuestas pueden extrapolarse al caso español.

51%. Por la mala publicidad

35%. Por miedo a que la competencia se aproveche del incidente

20%. Porque un remedio interno parece la mejor opción

18%. Por desconocimento del interés de las fuerzas de la ley en estos casos






Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.


<<