En nuestro país diariamente acontecen innumerables incidentes de seguridad informática, siendo en su mayoría los que se enfocan en vulnerar sistemas de información y robar datos de clientes y contactos en general, todo con el único propósito de facilitar el cometimiento de delitos tales como la suplantación y la extorsión. Dentro del universo de situaciones existen algunas relevantes que no solo permiten visualizar los errores cometidos, sino evaluar las acciones tomadas para mitigar los efectos, ello con el propósito de entender el incidente y averiguar cómo se puede evitar en el futuro.
Un caso óptimo de estudio es el que ocurrió el 2016 con una reconocida compañía de servicios de transporte particular que ofrece traslados de personas a través de su aplicación móvil; en particular aconteció que algunos actores malintencionados realizaron un ataque informático a esa aplicación, logrando así que se accediera a los datos de la operación en tiempo real y se robaran nombres, direcciones de correo electrónico y números telefónicos de cerca de 57 millones de personas a nivel mundial, entre las cuales se encontraban 270.000 ciudadanos Colombianos.
Antes que nada, es importante dejar claro que no es nuestra intención realizar un análisis de culpabilidad a la organización víctima del ciberataque, pues la realidad es que todos los eventos fueron causados por un grupo de delincuentes que realizaron actos en contra de las leyes nacionales e internacionales, sin embargo ciertos aspectos de procedimientos deben ser tenidos en cuenta a la hora de analizar las brechas presentes en los sistemas de información de la empresa afectada.
Tal como se evidenció en la investigación, existieron cinco situaciones graves: tres de tipo técnico y dos de tipo administrativo; las de tipo técnico se refieren al uso de credenciales de acceso a las bases de datos que no se cambiaban regularmente, siendo esa la punta de lanza que facilitó el incidente, otro aspecto tuvo que ver con los accesos a datos en la nube, los cuales se autenticaban a través de un solo factor siendo que lo más usual es utilizar la autenticación de factor doble o incluso superior, en especial cuando se manejan esas inmensas cantidades de registros, y el tercer aspecto que es el de mayor importancia, involucra la elección de un tipo de almacenamiento para guardar la información, y es que en el caso expuesto el error consistió en que los datos de la operación se resguardaban en un repositorio externo que habitualmente es usado por las comunidades “Open Source”, y cuyo nombre es Github.
Si bien es cierto que ese servidor cumple con su función, también lo es que para efectos de manejar bases de datos con cientos de millones de registros es más estratégico utilizar servidores internos que cuenten con controles extremos lo suficientemente robustos para evitar conexiones fraudulentas o de fácil acceso, ello en virtud a que así los funcionarios tengan las debidas credenciales, al final terminarán por exponerlas en un lugar donde otros pueden obtenerlas y utilizarlas indebidamente.
Con respecto a los errores administrativos, dos se destacan: la falta de inmediatez para la atención al incidente, y la falta de políticas para el manejo de credenciales con la carencia de herramientas de control que verifican su cumplimiento.
Así las cosas, la Superintendencia de industria y comercio (SIC), como organismo rector de la protección de datos personales en Colombia, después de revisar minuciosamente el caso emitió un concepto acerca de lo sucedido a través de la resolución 59876 de 2020, con la cual ordenó a la empresa de servicios de traslado de pasajeros robustecer tanto sus sistemas de seguridad como la organización administrativa, ello con la finalidad de evitar ese tipo de incidentes en el futuro. Y es entonces cuando aparece la pregunta: ¿qué significa “robustecer los sistemas de seguridad”?
La respuesta se resume en cuatro tareas encaminadas a que en todo momento se evite: 1) El acceso no autorizado o fraudulento a las bases de datos con información personal, 2) El uso no autorizado o fraudulento de la información personal, 3) La consulta no autorizada o fraudulenta de la información personal, y 4) La adulteración o pérdida de los datos personales almacenados.
De lo actuado hasta ahora por la empresa afectada y de lo recomendado por los expertos se puede decir que para cada tarea existen unas acciones específicas que garantizarán alcanzar el objetivo:
- Para evitar el acceso no autorizado se deberá entre otros: Establecer autenticación de usuarios, crear políticas de autenticación múltiple, restringir las conexiones en red y cifrar los datos en todas las comunicaciones.
- Para evitar el uso no autorizado se deberá entre otros: Llevar registros de acceso a todos los datos, limitar el número de operadores involucrados, destruir las bases de datos y documentos con información privada que no es necesaria, bloquear los medios de copia en los equipos informáticos usados en la gestión.
- Para evitar la consulta no autorizada se deberá entre otros: Activar cierres de sesión automáticos, validar las credenciales una y otra vez cada cierto período de tiempo, limitar el número de operadores involucrados, realizar auditorías a los registros de acceso para detectar acciones inusuales y realizar las operaciones de consulta a través de equipos seguros.
- Para evitar la adulteración o pérdida de los datos se deberá entre otros: Configurar y parametrizar la seguridad, llevar y auditar registros de cambios, realizar copias de seguridad automáticas, mantener copias de respaldo custodiadas, contar con varias herramientas anti-malware y mantener los sistemas informáticos actualizados.
Recuerde que existe un principio de seguridad en la ley de protección de datos personales, este establece la necesidad de resguardar apropiadamente la información capturada, por tanto es deber de toda organización velar por una correcta administración de los datos en términos técnicos y de seguridad.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
