{"id":1143,"date":"2023-02-23T17:04:28","date_gmt":"2023-02-23T22:04:28","guid":{"rendered":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/?p=1143"},"modified":"2023-06-29T15:52:15","modified_gmt":"2023-06-29T20:52:15","slug":"como-se-puede-fortalecer-la-seguridad-en-la-proteccion-de-datos-personales","status":"publish","type":"post","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/como-se-puede-fortalecer-la-seguridad-en-la-proteccion-de-datos-personales\/","title":{"rendered":"\u00bfC\u00f3mo se puede fortalecer la seguridad en la protecci\u00f3n de datos personales?"},"content":{"rendered":"

En nuestro pa\u00eds diariamente acontecen innumerables incidentes\u00a0 de seguridad inform\u00e1tica, siendo en su mayor\u00eda los que se enfocan en vulnerar sistemas de informaci\u00f3n y robar datos de clientes y contactos en general, todo con el \u00fanico prop\u00f3sito\u00a0 de facilitar el cometimiento de delitos tales como la suplantaci\u00f3n y la extorsi\u00f3n. Dentro del universo de situaciones existen algunas relevantes que no solo permiten visualizar los errores cometidos, sino evaluar las acciones tomadas para mitigar los efectos, ello con el prop\u00f3sito de entender el incidente y averiguar c\u00f3mo se puede evitar en el futuro.\u00a0 <\/span><\/p>\n

Un caso \u00f3ptimo de estudio es el que\u00a0 ocurri\u00f3 el 2016 con una reconocida compa\u00f1\u00eda de servicios de transporte particular que ofrece traslados de personas a trav\u00e9s de su aplicaci\u00f3n m\u00f3vil; en particular aconteci\u00f3 que algunos actores malintencionados realizaron un ataque inform\u00e1tico a esa aplicaci\u00f3n, logrando as\u00ed que se accediera a los\u00a0 datos de la operaci\u00f3n en tiempo real y\u00a0 se robaran nombres, direcciones de correo electr\u00f3nico y n\u00fameros telef\u00f3nicos de cerca de 57 millones de personas<\/strong> a nivel mundial, entre las\u00a0 cuales se encontraban 270.000 ciudadanos Colombianos<\/strong>.\u00a0<\/span><\/p>\n

Antes que nada, es importante dejar claro que no es nuestra intenci\u00f3n realizar un an\u00e1lisis de culpabilidad\u00a0 a la organizaci\u00f3n v\u00edctima del ciberataque,<\/strong> pues la realidad es que todos los eventos fueron causados por un grupo de delincuentes que realizaron actos en contra de las leyes nacionales e internacionales, sin embargo ciertos aspectos de procedimientos deben ser tenidos en cuenta a la hora de analizar las brechas presentes en los sistemas de informaci\u00f3n de la empresa afectada.<\/span><\/p>\n

\"\"<\/p>\n

Tal como se evidenci\u00f3 en la investigaci\u00f3n, existieron cinco situaciones graves: tres de tipo t\u00e9cnico y dos de tipo administrativo; las de tipo t\u00e9cnico se refieren al uso de credenciales de acceso a las bases de datos que no se cambiaban regularmente, siendo esa la punta de lanza que facilit\u00f3 el incidente, otro aspecto tuvo que ver con los accesos a datos en la nube, los cuales se autenticaban a trav\u00e9s de un solo factor siendo que lo m\u00e1s usual es utilizar la autenticaci\u00f3n de factor doble o incluso superior, en especial cuando se manejan esas inmensas cantidades de registros, y el tercer aspecto que es el de mayor importancia, involucra la elecci\u00f3n de un tipo de almacenamiento para guardar la informaci\u00f3n, y es que en el caso expuesto el error consisti\u00f3 en que los datos de la operaci\u00f3n se resguardaban en un repositorio externo que habitualmente es usado por las comunidades \u201cOpen Source\u201d<\/strong>, y\u00a0 cuyo nombre es Github.<\/strong><\/span><\/p>\n

Si bien es cierto que ese servidor cumple con su funci\u00f3n, tambi\u00e9n lo es que para efectos de manejar bases de datos con cientos de millones de registros es m\u00e1s estrat\u00e9gico utilizar servidores internos que cuenten con controles extremos lo suficientemente robustos para evitar conexiones fraudulentas o de f\u00e1cil acceso,\u00a0 ello en virtud a que as\u00ed los funcionarios tengan las debidas credenciales,\u00a0 al final terminar\u00e1n por exponerlas en un lugar donde otros pueden obtenerlas y utilizarlas indebidamente.<\/span><\/p>\n

Con respecto a los errores administrativos, dos se destacan: la falta de inmediatez para la atenci\u00f3n al incidente, y la falta de pol\u00edticas para el manejo de credenciales con la carencia de herramientas de control que verifican su cumplimiento.<\/span><\/p>\n

\"\"<\/p>\n

As\u00ed las cosas, la Superintendencia de industria y comercio (SIC),<\/strong> como organismo rector de la protecci\u00f3n de datos personales en Colombia, despu\u00e9s de revisar minuciosamente el caso emiti\u00f3 un concepto acerca de lo sucedido a trav\u00e9s de la resoluci\u00f3n 59876 de 2020, con la cual orden\u00f3 a la empresa de servicios de traslado de pasajeros robustecer tanto sus sistemas de seguridad como\u00a0 la organizaci\u00f3n administrativa, ello con la finalidad de evitar ese tipo de incidentes en el futuro. Y es entonces cuando aparece la pregunta: \u00bfqu\u00e9 significa \u201crobustecer los sistemas de seguridad\u201d?\u00a0<\/span><\/p>\n

La respuesta se resume en cuatro tareas encaminadas a que en todo momento se evite: 1) El acceso no autorizado o fraudulento a las bases de datos con informaci\u00f3n personal, 2) El uso no autorizado o fraudulento de la informaci\u00f3n personal, 3) La consulta no autorizada o fraudulenta de la informaci\u00f3n personal, y 4) La adulteraci\u00f3n o p\u00e9rdida de los datos personales almacenados.<\/span><\/p>\n

De lo actuado hasta ahora por la empresa afectada y de lo recomendado por los expertos se puede decir que para cada tarea existen unas acciones espec\u00edficas que garantizar\u00e1n alcanzar el objetivo:<\/span><\/p>\n