iVoy: 127,000 correos y contraseñas a la venta

La empresa de mensajería iVoy es la nueva protagonista de una filtración de datos personales de ciudadanos mexicanos bajo su resguardo. El incidente fue admitido públicamente por la compañía después de que éste fuera difundido en un sitio de noticias de ciberseguridad, donde se alertaba de la venta de una base de datos de 127,000 registros robada a iVoy, y de que el especialista Hiram Alejandro Camarillo, de la consultora Seekurity, lo publicara en su cuenta de Twitter. De otra manera, este incidente de seguridad de la información habría quedado bajo secreto.

Las compañías en México no tienen la obligación de informar al público en general ni de alertar a la autoridad de protección de datos personales, el Inai, sobre incidentes de seguridad de la información que comprometan datos personales. Cuando se diseñó la ley que obliga a los privados, hace 10 años, la notificación a la autoridad no fue contemplada; esto fue distinto en 2017, cuando se publicó la ley para el sector público. Lo cierto es que en ambos casos la legislación protege a los ciudadanos por un mal uso de sus datos personales e impone sanciones por descuidos y negligencias que vulneren información personal.

En el caso de iVoy, un vocero de la compañía me aseguró que las áreas de tecnología y de servicio al cliente de la compañía “trabajan en conjunto para la emisión del informe oficial que será compartido a la brevedad con las autoridades correspondientes”. Además del Inai en materia de protección de datos personales, la otra autoridad involucrada debe ser la Fiscalía General de la República, para denunciar un delito cibernético.

pic.twitter.com/9bXN8hKkS7— iVoy (@iVoy_) July 29, 2020

En ciberseguridad existen tres tipos de organizaciones: 1. las que ya fueron hackeadas, 2. las que no han sido hackeadas pero lo serán y 3. las que ya fueron hackeadas y lo volverán a ser. Y en medio están las organizaciones que cometen errores en la configuración de seguridad cibernética o en el procesamiento de la información personal. Un error frecuente ocurre en la configuración de bases de datos alojadas en servicios en la nube, que quedan disponibles sin contraseñas ni otras medidas de seguridad y que luego son indexadas en motores de búsqueda especializados, susceptibles de acceso por personas no autorizadas. Es el caso reciente, por ejemplo, de la holding financiera Gentera o en 2019 de la consultora de negocios KPMG.

Pero sin importar qué tipo de error o ataque se haya sufrido, en ningún caso las organizaciones, públicas o privadas, están exculpadas: son responsables de proteger con la vida los datos personales que resguardan. Se trata de información personal de usuarios, clientes, empleados o proveedores que, en malas manos, puede lastimar el patrimonio de sus titulares. 

Un vocero de iVoy me aseguró que por el incidente de seguridad de la información sólo se vieron afectados “clientes directos de iVoy que acceden a nuestro portal, ningún cliente final (clientes de nuestros clientes) ha resultado afectado por el incidente” y afirmó que, de inmediato, alertaron a los usuarios afectados sobre el incidente y les recomendaron a “actualizar la contraseña de su cuenta iVoy y, en caso de utilizar la misma contraseña en otros sitios web, deberán actualizarla de igual manera”.

El aviso inmediato a los titulares de los datos es una obligación legal, prevista en el artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para que éstos puedan tomar medidas de defensa de sus derechos patrimoniales o morales.

iVoy no será la última compañía mexicana en sufrir una vulneración que deje expuestos datos personales. Es uno de los riesgos de participar de la economía digital, donde los datos representan su energía y su impulso principal, y los incidentes de seguridad de la información un riesgo constante.

Es importante documentar públicamente las filtraciones, como un ejercicio de alertamiento a los consumidores sobre la seguridad que dedican las compañías a una parte fundamental de su negocio: la información personal. La sanción reputacional puede ser una llamada de atención y una exigencia para dar la seriedad necesaria a la protección de los datos personales.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios