Hace apenas tres semanas, en este mismo espacio compartí algunas reflexiones sobre los riesgos que implica el entorno digital en relación con nuestros datos personales. Me referí específicamente al uso de los servicios bancarios, no bancarios y las fintech (ver texto). Una semana después, dediqué este espacio a recordar los 14 años de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, destacando la necesidad de reflexionar acerca de una posible actualización al marco legal correspondiente, para enfrentar los desafíos actuales (ver texto). En ambas ocasiones, señalé que la digitalización incrementa los riesgos de un mal uso de datos confidenciales, lo cual sin duda, puede afectar la privacidad, la integridad y la seguridad financiera de las personas.
Como si se tratara de un presagio, pocos días después surgió un caso relevante. El sábado, 13 de julio, varias personas con cuenta en el sistema de boletaje Ticketmaster, informaron haber recibido un correo electrónico de la empresa, notificándoles que un “tercero no autorizado” habría accedido una base de datos a su cargo gestionada por un proveedor externo, la cual contiene información confidencial de las personas con cuenta en ese sistema. Concretamente, esta información incluye nombres, datos de contacto y datos de tarjetas de crédito y débito registradas en el sistema. Siendo grave la situación, el mensaje señala que la fuga de los datos pudo haber ocurrido hace más de dos meses. Según una empresa de ciberseguridad, la base de datos se encuentra a la venta en la “dark web” desde el 28 de mayo -lo cual concuerda con las fechas señaladas en el correo de Ticketmaster-, por medio millón de dólares, e incluye la información de 560 millones personas usuarias en todo el mundo.
Además, otros ciberdelincuentes están aprovechando el temor de las personas potencialmente afectadas para enviar correos phishing, es decir, mensajes engañosos que supuestamente buscan enmendar la falla, pero que realmente pretenden que las personas tropiecen en nuevas trampas informáticas para acceder a su información confidencial.
Este nuevo caso, desafortunadamente pone de manifiesto los riesgos a los que me referí en semanas anteriores y, sobre todo, plantea la necesidad de mantenernos alertas sobre el manejo de nuestros datos personales. Sin embargo, la mayor responsabilidad recae en las empresas a las que las personas confían su información. Por ello, desde el INAI hemos iniciado una indagatoria para determinar las posibles faltas en que se haya incurrido e identificar a las personas responsables. El caso es complejo, ya que incluye variables como la ubicación -ya que pudo ser un suceso a nivel transnacional- y la implicación de terceros subcontratados para el manejo de la información. De cualquier manera, es necesario llegar al fondo del asunto, saber si hubo un hackeo externo a la empresa o si una persona empleada o exempleada sustrajo la base de datos para venderla, y tomar cartas en el asunto.
El INAI está facultado legalmente para hacer estas investigaciones y, en su caso, imponer las sanciones correspondientes. Somos conscientes de la gravedad del caso y este Instituto siempre será un aliado de la gente; pero más allá de eso, asumimos nuestro papel como institución del Estado mexicano en defensa del derecho a la protección de los datos personales.
Es una cuestión de seguridad.
Comisionado Presidente del INAI