A todos nuestros clientes y amigos:
El día de hoy, el WSJ informó que el banco Capital One, que es el quinto emisor de tarjetas de crédito en USA, tuvo un ataque o acceso ilícito a sus sistemas que comprometió los datos personales de más de 100 millones de clientes. La nota la pueden leer completa aquí: Capital One Reports Data Breach Affecting 100 Million Customers, Applicants – WSJ:
Quien perpetró lo anterior, fue un excolaborador de una empresa de cómputo en la nube. Los datos personales que se comprometieron son: números de seguridad social, información crediticia, solicitudes de crédito, cuentas de banco, etc.
Ahora bien, aunque la cracker que accedió ilícitamente al sistema fue capturada por las autoridades porque alardeó de su “hazaña” en redes sociales, es un buen momento para reflexionar qué se debe de hacer ante un ataque bajo la legislación mexicana.
De acuerdo con el artículo 63 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”), Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son:
A) La pérdida o destrucción no autorizada;
B) El robo, extravío o copia no autorizada;
C) El uso, acceso o tratamiento no autorizado, o
D) El daño, la alteración o modificación no autorizada.
Asimismo, el artículo 20 de la LFPDPPP, se establece que: Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Asimismo, el artículo 66 del reglamento señala que el responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
Es decir, si CREDIT ONE fuera una empresa mexicana y el ataque hubiere ocurrido en México tendría que informar de inmediato a sus clientes que sus datos fueron comprometidos, sin dejar de lado que tendría que presentar una denuncia penal por el delito de acceso ilícito a sistemas de cómputo y que las autoridades investigaran.
Como se puede ver, México sí tiene legislación al respecto y será sin duda menos costos invertir en capacitación y prevención para evitar que esto ocurra pues para que nos demos una idea del impacto, esto le representará a CAPITAL ONE un costo de $100 a $150 millones de dólares sin contar la lesión a su reputación y confianza.
Esperemos que esta información haya sido de utilidad. Lean la nota completa.