Buró de Crédito lo confirma: no fue hackeo

“La investigación de expertos independientes, que está en curso, permite concluir que no hay evidencia de que la infraestructura de seguridad informática históricamente, y en particular, de 2016 a la fecha haya sido vulnerada; es decir no hay evidencia de un hackeo”, me dijo Wolfgang Erhardt Varela, vocero de Buró de Crédito, consultado sobre la filtración de datos personales y financieros comunicada por la empresa el 2 de febrero pasado.

A la agencia de calificación crediticia le robaron datos personales y datos financieros desde dentro de la organización, como publiqué al conocerse el incidente. Una o varias personas con acceso a las bases de datos resguardadas por Buró de Crédito realizaron una exfiltración (o fuga de información). Los datos robados fueron puestos a la venta en redes sociales, informó primero Buró de Crédito y confirmó después la autoridad financiera, la CNBV (Comisión Nacional Bancaria y de Valores).

Era algo que quedaba implícito en la primera comunicación de Buró de Crédito: la compañía, se informó el 2 de febrero, “encontró, en algunas redes sociales, indicios que sugerían la oferta ilegal de información de personas físicas que incluye algunos datos que coinciden con los que administrábamos en el 2016 y que habrían sido obtenidos de manera indebida”.

¿Cuántos titulares de datos fueron afectados? ¿Cuáles datos personales y financieros fueron vulnerados? “Debido a que la investigación está en marcha, esta es toda la información que me es posible compartir en este momento”, me dijo el vocero de Buró de Crédito, una empresa privada propiedad de las transnacionales Trans Union de México y Dun & Bradstreet.

“Además de proceder de forma inmediata a activar los protocolos de seguridad correspondientes, incluyendo un reforzamiento de todos los mecanismos de monitoreo, prevención y de resguardo de la base de datos, Buró de Crédito implementó medidas que le permiten a los otorgantes de crédito identificar, fácil y rápidamente, a las personas cuya información fue encontrada en línea. De esta manera se logró proteger —tanto a las personas como a los otorgantes de crédito— ante cualquier intento de uso indebido de dicha información. Por ello, las personas no requieren hacer trámite alguno ante Buró de Crédito o con las entidades financieras y empresas que les hayan otorgado algún préstamo o crédito que adeuden actualmente para estar protegidas”, añadió Erhardt Varela.

La CNBV sabía del robo y venta de datos personales y financieros a Buró de Crédito desde el 19 de diciembre de 2022. Nada hizo para informar a los ciudadanos afectados de un incidente que los pone en riesgo de suplantación de identidad o, en el caso más grave, de secuestro. La CNBV tampoco obligó a Buró de Crédito a notificar individualmente. Buró de Crédito no tiene la obligación de comunicar a los afectados por regirse por leyes distintas al régimen de protección de datos personales que vigila el Inai, la agencia de privacidad de México.}

La supervisión de Buró de Crédito en este asunto queda totalmente bajo el paraguas de la CNBV, que ha comunicado poco sobre el incidente de seguridad de la información.

Las leyes, reglamentos, circulares y demás disposiciones relacionadas con la vigilancia de las sociedades de información crediticia, como Buró de Crédito y Círculo de Crédito, tampoco ayudan: son poco precisas sobre la manera de actuar ante una violación del secreto bancario o financiero como la ocurrida. Tampoco sugieren guías de acción. La Barra Mexicana Colegio de Abogados pide una reforma urgente.

CNBV puede sugerir multas y sancionar con inhabilitación a los responsables ejecutivos de Buró de Crédito. La Secretaría de Hacienda puede revocar la licencia de operación si se considera que la falta fue grave.

Para llegar ahí o a cualquier otra decisión se necesita voluntad y compromiso con la defensa de derechos humanos como el derecho a la protección de datos personales y al secreto bancario. Desde la CNBV queda claro que eso no existe: la oficina no responde consultas, no dialoga con los ciudadanos. Se supone que la investigación de la CNBV sobre el incidente concluyó el viernes 3 de marzo. ¿Cuándo se comunicarán los hallazgos?

No lo sabemos. Al frente de la CNBV tenemos santones del derecho financiero y no personas servidoras públicas comprometidas con el país y sus ciudadanos. Qué pena, compadre.

Filtración de datos personales y financieros de Buró de Crédito

• Quebrar el escudo de Buró de Crédito (13 de septiembre, 2023)
• Buró de Crédito debe cumplir con la ley de datos personales, propone MC en Diputados (13 de septiembre, 2023)
• Guardia Nacional sobre Buró de Crédito: preguntas y respuestas (8 de mayo, 2023)
• CNBV sobre el robo a Buró de Crédito: ayudar a consumidores toca a Condusef (23 de abril, 2023)
• ¿Cómo tramitar un amparo contra el buró de crédito? (13 de marzo, 2023)
• Buró de Crédito lo confirma: no fue hackeo (6 de marzo, 2023)
• Que se reforme la ley de datos y se incluya al Buró de Crédito, exige la Barra Mexicana Colegio de Abogados (27 de febrero, 2023)
• CNBV sobre Buró de Crédito: sin acuse de recibo (27 de febrero, 2023)
• CNBV sabía de la filtración en Buró de Crédito desde diciembre de 2022 (22 de febrero, 2023)
• Buró de Crédito: sálvese quien pueda (21 de febrero, 2023)
• Buró de Crédito, CNBV y la ley de la selva (20 de febrero, 2023)
• ¿Cómo bloquear llamadas de los bancos? (9 de febrero, 2023)
• ¿El Inai puede actuar contra el Buró de Crédito? (7 de febrero, 2023)
• Al Buró de Crédito le robaron tus datos personales (2 de febrero, 2023)
• Buró de crédito en México (21 de diciembre, 2021)

Entrevistas en YouTube:

• ¿Cómo tramitar un amparo contra el buró de crédito?
• Buró de Crédito: datos personales y secreto bancario
• Buró de Crédito: ¿qué puede hacer la agencia de privacidad?

Comentarios