Datos y archivos personales en constante peligro
Citigroup conoce demasiado los riesgos de mover datos personales. En febrero de 2004, 120.000 perfiles de clientes japoneses se esfumaron en Singapur. Nunca más se supo. Días atrás, UPS le perdió datos sobre cuatro millones de clientes.
Esta vez, fue una caja con 3.900 millones de archivos en cintas magnéticas, puesta en manos de United Parcel Service (UPS). Algunos ejecutivos del mayor grupo financiero mundial recordaron con disgusto que el episodio en Singapur había generado una transición a “canales electrónicos seguros” en el transporte de datos sensibles. Este proceso había avanzado mucho pero, como se ve ahora, no lo bastante.
Por cierto, confiar identidades, números de seguridad social y datos de cuentas a un camionero de UPS –o de otra empresa- parece un anacronismo. Sin embargo, es un hecho común y corriente. Pero se trata de un asunto complicado y mejorar las cosas exige tiempo y dinero.
Con tanto e-commerce, y cuando unos pocos datos sustraídos o robados bastan para abrir falsas cuentas de crédito, los delincuentes casi no encuentran obstáculos para recoger la información necesaria. ChoicePoint, un intermediario de datos comerciales, fue engañado por “expertos” que simulaban negocios legítimos, mientras descargaban datos sobre miles de compradores. Eso demuestra que continúa desarrollándose un próspero tráfico de datos (tarjetas de crédito, cuentas bancarias) vía sitios Web o salas de conversación underground.
“Luchar contra esos robos requiere un planteo holístico”, sostiene Michael Gibbons, ex jefe de ciberdelitos en el FBI. Eso abarca “métodos más seguros de acceso en línea, verificación más estricta de identidades, un buen equipo profesional y mejoras en el transporte o envío masivo de datos personales”. Dado que más de diez millones son cada año víctimas de alguna forma de robo de identidad, según la Comisión Federal de Comercio (CFC), la situación se sale de madre.
Citigroup y UPS salieron a asegurar que el extravío de datos de CitiFinancial y otra división del Grupo parece ser simple error humano, no resultado de malas artes. Pero, como cree Gibbons, “las circunstancias hacen actualmente pocas diferencias para la opinión pública y los medios. La gente no está dispuesta a tolerar esas cosas”.
Antonio Caputo (SafeNet, firma que trabaja para el Pentágono y el impopular Departamento de Seguridad Interior) tiene una explicación para la persistencia del tranporte en camiones: “El volumen de datos a transmitir es, a menudo, excesivo para una conexión normal por Internet y crear redes más seguras demanda fondos y tiempo. No obstante, estoy convencido de que, en los próximos años, si no meses, habrá sistemas capaces de transportar datos a mayor escala”.
El impulso en ese sentido probablemente sea legislativo. Una ley dictada por California (2003), espera Bruce Schneier –respetado experto en seguridad informática-, posiblemente tenga un amplio efecto demostración. La medida exige a bancos y empresas notificar al cliente afectado por fallas de seguridad o robo de datos. Por de pronto, está induciendo a cantar palinodias, como las de ChoicePoint o LexisNexis y varias entidades financieras (por ejemplo, Wachovia y Ameritrade).
Charles Schumer, senador demócrata por Nueva York, ha propuesto crear una oficina dedicada a robos de identidad, en órbita de la CFC, que establecería pautas mínimas de seguridad informática para cualquier instancia que maneje datos personales sensibles (seguridad social, permisos de conducir, patentes, información médica, crediticia y bancaria). Quiene no satisfagan “requerimientos razonables” pagarán multas de hasta US$1.000 por persona afectada.
Sin duda, los inevitables grupos de presión (lobbies) tratarán de diluir ese tipo de exigencias. Basta con notar que, si hubiese una ley como la propuesta, Citigroup afrontaría hoy multas por un total de US$4.000 millones. A su vez, UPS se expondría a una demanda del banco. Pero no existiendo un régimen como el de Schumer, no hay sanciones y ninguna de ambas partes parece dispuesta a profundizar investigaciones. Ya había sucedido lo mismo con Bank of America, en febrero último.
Sea como fuera, circulan 22 proyectos de ley, en varios niveles y originados en los dos grandes partidos, de características similares a las propuestas por Schumer. Además, la serie de pérdidas o robos y las embarazosas revelaciones sobre mal manejo de archivos fomentan un activismo legislativo que preocupa al negocio financiero.
Esta vez, fue una caja con 3.900 millones de archivos en cintas magnéticas, puesta en manos de United Parcel Service (UPS). Algunos ejecutivos del mayor grupo financiero mundial recordaron con disgusto que el episodio en Singapur había generado una transición a “canales electrónicos seguros” en el transporte de datos sensibles. Este proceso había avanzado mucho pero, como se ve ahora, no lo bastante.
Por cierto, confiar identidades, números de seguridad social y datos de cuentas a un camionero de UPS –o de otra empresa- parece un anacronismo. Sin embargo, es un hecho común y corriente. Pero se trata de un asunto complicado y mejorar las cosas exige tiempo y dinero.
Con tanto e-commerce, y cuando unos pocos datos sustraídos o robados bastan para abrir falsas cuentas de crédito, los delincuentes casi no encuentran obstáculos para recoger la información necesaria. ChoicePoint, un intermediario de datos comerciales, fue engañado por “expertos” que simulaban negocios legítimos, mientras descargaban datos sobre miles de compradores. Eso demuestra que continúa desarrollándose un próspero tráfico de datos (tarjetas de crédito, cuentas bancarias) vía sitios Web o salas de conversación underground.
“Luchar contra esos robos requiere un planteo holístico”, sostiene Michael Gibbons, ex jefe de ciberdelitos en el FBI. Eso abarca “métodos más seguros de acceso en línea, verificación más estricta de identidades, un buen equipo profesional y mejoras en el transporte o envío masivo de datos personales”. Dado que más de diez millones son cada año víctimas de alguna forma de robo de identidad, según la Comisión Federal de Comercio (CFC), la situación se sale de madre.
Citigroup y UPS salieron a asegurar que el extravío de datos de CitiFinancial y otra división del Grupo parece ser simple error humano, no resultado de malas artes. Pero, como cree Gibbons, “las circunstancias hacen actualmente pocas diferencias para la opinión pública y los medios. La gente no está dispuesta a tolerar esas cosas”.
Antonio Caputo (SafeNet, firma que trabaja para el Pentágono y el impopular Departamento de Seguridad Interior) tiene una explicación para la persistencia del tranporte en camiones: “El volumen de datos a transmitir es, a menudo, excesivo para una conexión normal por Internet y crear redes más seguras demanda fondos y tiempo. No obstante, estoy convencido de que, en los próximos años, si no meses, habrá sistemas capaces de transportar datos a mayor escala”.
El impulso en ese sentido probablemente sea legislativo. Una ley dictada por California (2003), espera Bruce Schneier –respetado experto en seguridad informática-, posiblemente tenga un amplio efecto demostración. La medida exige a bancos y empresas notificar al cliente afectado por fallas de seguridad o robo de datos. Por de pronto, está induciendo a cantar palinodias, como las de ChoicePoint o LexisNexis y varias entidades financieras (por ejemplo, Wachovia y Ameritrade).
Charles Schumer, senador demócrata por Nueva York, ha propuesto crear una oficina dedicada a robos de identidad, en órbita de la CFC, que establecería pautas mínimas de seguridad informática para cualquier instancia que maneje datos personales sensibles (seguridad social, permisos de conducir, patentes, información médica, crediticia y bancaria). Quiene no satisfagan “requerimientos razonables” pagarán multas de hasta US$1.000 por persona afectada.
Sin duda, los inevitables grupos de presión (lobbies) tratarán de diluir ese tipo de exigencias. Basta con notar que, si hubiese una ley como la propuesta, Citigroup afrontaría hoy multas por un total de US$4.000 millones. A su vez, UPS se expondría a una demanda del banco. Pero no existiendo un régimen como el de Schumer, no hay sanciones y ninguna de ambas partes parece dispuesta a profundizar investigaciones. Ya había sucedido lo mismo con Bank of America, en febrero último.
Sea como fuera, circulan 22 proyectos de ley, en varios niveles y originados en los dos grandes partidos, de características similares a las propuestas por Schumer. Además, la serie de pérdidas o robos y las embarazosas revelaciones sobre mal manejo de archivos fomentan un activismo legislativo que preocupa al negocio financiero.