La Corporación Mexicana de Investigación en Materiales S.A. de C.V. (Comimsa), una entidad pública dependiente de la oficina federal de ciencia y tecnología Conacyt, contrató una membresía anual para utilizar listas negras de trabajadores durante sus procesos de selección de candidatos y tener elementos para rechazar a supuestos empleados problemáticos. Las listas negras, también conocidas […]
Los ciberataques seguirán ocurriendo y serán cada vez más frecuentes. Desde nuestra trinchera, como usuarios de los servicios de la economía digital, más nos vale mantener nuestras propias precauciones.
1 octubre, 2018Imagen corporativa de Uber, difundida en 2016 cuando anunció que México representaba su tercer mayor operación en el mundo.
En 2016 un grupo de hackers accedió a los sistemas tecnológicos de Uber y robó datos personales de 57 millones de sus clientes y conductores. Uber —una compañía que ofrece servicios de transporte a través de un software instalado en teléfonos móviles— ocultó este incidente de ciberseguridad durante un año. Entre los afectados hubo casi 1 millón de mexicanos, se supo en marzo de 2018.
El incidente provocó investigaciones judiciales contra Uber en todo Estados Unidos. “Al fallar en la protección de información personal y sensible —a pesar de que es su obligación legal hacerlo— y al ocultar la brecha de seguridad por más de un año —a pesar de que es su obligación legal informar sobre este tipo de incidencias— Uber expuso de manera deliberada e intencional a los ciudadanos de Chicago y de Illinois al robo de identidad y al fraude financiero, a estafas relacionadas con la devolución de impuestos y a otros daños potenciales”, se lee en la demanda del Ayuntamiento de Chicago contra Uber.
Uber tiene en México 8 millones de usuarios activos y más de 250,000 socios conductores en 43 ciudades de 23 estados. Hace un par de años presumió que México representaba su tercera mayor operación global. La Procuraduría General de la República (PGR) informó en marzo que colaboraba con Uber para “buscar” que “los datos plagiados no pongan en riesgo la integridad ni el patrimonio de los usuarios”. Aseguró que a través de la Agencia de Investigación Criminal (AIC) y su Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas (UICOT) “trabaja en prevenir que la información filtrada llegue a internet, particularmente al mercado negro en la Deep y Dark Web”. (¿En qué quedamos: se puede confiar en que los hackers retribuidos por Uber borraron la información?).
La autoridad de protección de datos personales de México, el Inai, informó a través de una solicitud de acceso a la información en enero de 2018 que había recibido una denuncia relacionada con el incidente, “la cual derivó en una orientación”. Antes había dicho que pediría información a Uber “que permita conocer cuántos usuarios, choferes y empleados mexicanos fueron afectados, así como las medidas implementadas para evitar vulneraciones futuras y, en su caso, mitigar los daños de la ocurrida en 2016”. Y ya.
El 26 de septiembre pasado se informó que Uber llegó a un acuerdo en Estados Unidos para pagar 148 millones de dólares y detener las investigaciones en su contra. Uber se comprometió a implementar medidas para reducir la posibilidad de ataques cibernéticos que pongan en riesgo la información personal de sus consumidores. También se comprometió a adoptar mecanismos de transparencia: cada tres meses entregará un reporte a las autoridades sobre incidentes de ciberseguridad durante los próximos dos años.
“La decisión de Uber de encubrir esta brecha de seguridad fue una flagrante violación de la confianza de los consumidores. (…) En coincidencia con su cultura corporativa de ese momento, Uber ocultó la brecha de seguridad bajo la alfombra en una deliberada falta de respeto a la ley”, dijo en un comunicado el fiscal general de California, Xavier Becerra.
¿Uber será sancionado en México por esta filtración de datos personales de sus consumidores? ¿Llegará a un acuerdo económico como apercibimiento por su negligencia y el ocultamiento del incidente? Apuesto que no. Aunque deseo equivocarme.
La conversación misógina del senador Ismael García Cabeza de Vaca nada tiene que ver con una “comunicación privada” si ocurre a la vista de todos. Este artículo se publicó en Buzzfeed News el 26 de septiembre de 2018. Al senador Ismael García Cabeza de Vaca le urge “zumbarse” a la mujer de la foto que […]
El periodista Marco Lara Klahr preparó el informe Tribunales Paralelos y Exposición Mediática de las Personas, para reflexionar sobre las “sentencias mediáticas” a las que son sometidos presuntos responsables de delitos sin que medie un proceso judicial en su contra y mucho menos una sentencia.
El despacho contable Enconta dejó expuestos 384,519 archivos relacionados con sus clientes en los servidores de Amazon. Los documentos contenían estados de cuenta bancarios, facturas, recibos de compras y pagos, declaraciones fiscales para el SAT e incluso cotizaciones de servicios de Enconta para sus propios clientes.
El Imaip inició el procedimiento de verificación de oficio el martes 11 de septiembre, cuatro semanas después de que el investigador Bob Diachenko revelara que información personal sensible de los pacientes del Seguro Popular estaba disponible sin protección en internet. El procedimiento es de oficio porque nadie presentó denuncia ante el Imaip.
La Secretaría del Trabajo confirmó desde 2014 la existencia de los servicios de buró laboral en México y justificó su existencia como una “herramienta” para que los empleadores discriminen a los candidatos a partir de su historial laboral. Un buró laboral es una base de datos con información de los trabajadores que han demandado a […]
Uber, empresa dedicada a ofrecer servicios de transporte privado, pondrá a disposición de autoridades la información en tiempo real de los usuarios que notifiquen urgencias a través del servicio telefónico 911. Se trata de un modelo de colaboración con autoridades diseñado por la propia compañía y con el que espera ofrecer a sus millones de […]
El 2 de diciembre de 2016, un médico del sistema público de salud de Michoacán atendió a un paciente con diabetes mellitus. Registró en su expediente clínico electrónico una dentición presente con caries dental y un puntaje 15/15 en la escala Glasgow, el nivel más alto de alerta en los seres humanos resultado de tres criterios de observación clínica: respuesta ocular, respuesta verbal y respuesta motora. El médico revisó los resultados de la biometría hemática, la química sanguínea y el examen general de orina. Palpó cuello y pies; revisó ritmo cardiaco. Resultado de la consulta: descontrol hipertensión arterial sistémica, descontrol obesidad. La receta mantuvo enlistada una docena de medicamentos como captopril de 25 mg, furosemide de 40 mg, metformina de 850 mg, glimepirida de 4 mg e insulina humana inyectable. Por supuesto, el expediente incluye nombre completo, CURP, raza, situación migratoria, discapacidad en caso de presentar alguna, fecha de nacimiento, sexo, nacionalidad y dirección postal del paciente.
2. El administrador de los expedientes
Hova Health es una compañía mexicana que ofrece servicios tecnológicos al sector salud, como administración de expedientes clínicos electrónicos, aplicación e interpretación de estudios radiológicos o la renta de equipo médico. Entre sus clientes se encuentra la Secretaría de Salud de Michoacán, con la que firmó contratos en mayo y noviembre de 2015 (SSM-LP-025/2015-01 y MOD-01) y mayo de 2016 (SSM-LP-004/2016-01) con máximos de 43 millones de pesos y 84 millones de pesos. El miércoles 8 de agosto de 2018, Alexis Nickin, fundador y director de Hova Health, reconoció a El Economista que la compañía dejó expuestos 2.3 millones de expedientes clínicos en una base de datos disponible a través de internet que no necesitaba contraseña para ser accedida. Los expedientes incluían datos personales sensibles de ciudadanos de Michoacán, como su estado de salud y su origen étnico o racial. En la base de datos también se encontraban a la vista de quien sea (terceros no autorizados) diagnósticos y recetas.
Se trata de la exposición de datos personales sensibles más grave registrada en México. Esos datos representan la información de carácter personal más íntima y pueden provocar discriminación y daño a sus titulares (los propietarios de los datos). “En el campo privado sí pudiera ser uno de los casos de mayor envergadura que se ha conocido”, dijo Gustavo Parra Noriega, secretario de Protección de Datos Personales de la autoridad de protección de datos personales (el Inai). La confirmación oficial llegará una vez concluidos los procedimientos respectivos, que el Inai comenzó de la mano de la autoridad protección de datos personales de Michoacán (el Imaip). “Es un caso lamentable, porque además de que son datos personales son datos sensibles”, dijo Areli Yamilet Navarrete, comisionada del Imaip.
3. Una sanción ejemplar
“Tenemos la confirmación de que aunque sí estuvo expuesta no fue descargada” la base de datos, dijo Nickin. Puede ser que tenga razón, que la única persona que tuvo acceso a los expedientes clínicos resguardados por Hova Health haya sido el experto en ciberseguridad Bob Diachenko, quien los descubrió en línea sin contraseñas ni candados, alertó a la compañía y luego publicó un artículo sobre el tema en la red social LinkedIn. Pero no basta con que la base de datos no haya sido descargada: Alexis Nickin y su empresa fallaron en proteger la información personal más íntima de los usuarios del sistema público de salud de Michoacán. La sanción debe servir de advertencia para que otros se tomen en serio su responsabilidad a la hora de trabajar con datos personales sensibles.
