Pocas organizaciones inscriben sus ficheros en la Agencia de Protección de Datos

Lo del robo de datos de los titulares de 40 millones de tarjetas de crédito de entidades financieras como MasterCard, Visa o American Express no es un caso aislado.

¿Ud sabe dónde están los datos de su tarjeta de crédito en este instante?

El último caso, esta misma semana. Un pirata informático robó los datos personales y bancarios de los titulares de 40 millones de tarjetas de crédito de entidades financieras como MasterCard, Visa o American Express. Hace dos semanas, Citibank perdía los datos de 3,9 millones de clientes. Desde principios de año, importantes empresas de EE UU han perdido o les han robado bases de datos con información de millones de personas. ¿Qué está pasando?

Lo que a primera vista parece una oleada es, según los expertos, algo normal. La diferencia está en que nadie lo denunciaba, hasta la aparición de una ley en California que obliga a las empresas que sufran fugas a darlo a conocer públicamente.

A raíz de su entrada en vigor a mediados de 2004, empezó una avalancha de notificaciones de robos y pérdidas de datos que ha sacudido a la opinión pública y ha provocado que el Congreso norteamericano estudie poner en marcha leyes para todo el país. El Computer Security Institute realizó el año pasado una encuesta entre 276 compañías de Estados Unidos para saber por qué no denunciaban los robos en sus bases de datos: el 51% no lo hacía para no crearse mala publicidad; el 35% por miedo a que la competencia se aprovechara del incidente; el 20% porque un remedio interno les parece la mejor opción, y el 18% por desconocimento del interés de las fuerzas de la ley en estos casos.

Los casos destapados muestran que la mayoría de empresas ven comprometidas sus bases de datos de tres formas: por la pérdida de discos de back-up, que suele gestionar una tercera empresa, por la entrada de intrusos o los empleados en el sistemas informático, y por el robo de ordenadores.

La desaparición de back-up ha afectado al Bank of America, que en febrero perdió información de 1,2 millones de personas; al programa gubernamental Smart Pay, con más de un millón de clientes afectados; a Ameritrade, que perdió en abril los datos de 200.000 clientes, y a Time Warner, cuyas cintas de back-up con datos de 600.000 empleados volaron en mayo, durante un transporte.

En cuanto a la entrada en sistemas informáticos, el Bank of America es protagonista del mayor robo de datos bancarios. A finales de mayo se supo que empleados del banco vendieron información de 670.000 clientes.

En febrero, diversas personas se hicieron pasar por clientes de Choice Point para entrar en sus sistemas y robar nombres, direcciones, números de Seguridad Social e informes financieros de 140.000 usuarios. En marzo, se descubría que habían usado el mismo truco con Seisint, una filial de Lexis Nexis, para llevarse datos de 310.000 personas. El mismo mes, la empresa de calzado DSW notificaba que les habían robado los números y nombres asociados a 1,5 millones de tarjetas de crédito.

En cuanto al robo de ordenadores, la semana pasada desaparecía un portátil de MCI con información personal de 16.500 empleados. En abril, robaban dos máquinas del San José Medical Group, con información médica y financiera de 185.000 pacientes. En marzo, un contratista del Gobierno, Science Applications International Corp, sufría el robo de varios PC con detalles sobre empleados actuales y pasados, entre ellos secretarios de Defensa y directivos de la CIA.

La situación no es nueva. Tampoco es un fenómeno exclusivo de Estados Unidos. Simplemente, por ley, en ese país se obliga a declarar el extravío de datos sensibles.

Estados Unidos siempre ha destacado por su legislación permisiva en protección de datos, que empieza a cambiar para acercarse a la normativa europea, más proteccionista. Esta laxitud sería la explicación del desbarajuste en sus bases de datos. Pero los expertos consultados por Ciberp@ís sostienen que la situación no es mejor en España, sólo que aquí las empresas no están obligadas a hacer públicas las fugas.

En Europa, el caso más sonado es el del Banco Central de Rusia, al que en cuatro meses le han robado dos veces las bases de datos con las operaciones de los últimos dos años. Luego se venden en el mercado negro por 3.000 rublos (85 euros). En España, el caso más reciente ha sido el hospital de Leganés, que estos días se somete a una auditoria informática, después de detectarse "accesos atípicos".

El peligro de las webs porno es que casi toda intrusión en un sistema lleva asociado el acceso a la base de datos de usuarios y contraseñas. Las webs de sexo son uno de los principales objetivos, porque tienen suculentas listas de tarjetas de crédito y poca seguridad.

Mariano José Benito, director del Departamento de Seguridad de SGI Soluciones Globales Internet, explica: "Al no ser denunciados, no hay estadísticas fiables de estos robos en España, pero la sensación general es que hay incidentes de este tipo con cierta frecuencia y que han ocurrido en buen número de compañías de todos los sectores, desde grandes empresas hasta las pymes".

Benito agrega: "El origen son spammers, la competencia e incluso mafias, muy a menudo transnacionales. Se conocen casos de intentos de estafa basados en datos financieros de un fichero robado".


Fuente: ElPaís