🥔 IMSS: papa caliente en privacidad

Les prometo ofrecerles la verdad de forma rapidísima, sencilla y entretenida.— Kuromi

¡Bienvenido! Soy José Soto Galindo y esta es la newsletter sobre privacidad y sociedad de la información de México. Edición 262°.

🤑 Con tu ayuda puedo dar vida a Economicón:

• Compra una suscripción de pago en Substack o dona con PayPal.
• Obtén charlas personalizadas, documentos exclusivos y consultas directas.

IMSS: el primer gran desafío de privacidad

La nueva agencia de privacidad de México debe confirmar si se filtraron datos personales sensibles de beneficiarios del IMSS, el mayor organismo público de salud y seguridad social del país, y en su caso castigar a los funcionarios responsables e informar al ministerio público federal.

• 🥔 Es la primera papa caliente para la Unidad de Protección de Datos Personales, una oficina creada en mayo pasado en la Secretaría Anticorrupción y Buen Gobierno, subordinada de la Presidencia.
• Tanto si decide entrarle como si no, el asunto marcará los primeros pasos en la vida de esta Unidad, con un asunto que puede provocar un conflicto político interno al involucrar a otra instancia de gobierno.

Me urge contexto. Según el periódico El Universal, el IMSS sufrió un hackeo en el que le robaron datos personales de “20 millones de pensionados” que luego fueron ofertados en internet a 50,000 pesos (unos 2,500 dólares) la copia.

• 🧐 Verificador. El IMSS (Instituto Mexicano del Seguro Social) no tiene 20 millones de pensionados: tiene 5.7 millones, según su informe financiero 2024-2025 para el cierre de 2024.
• Podría ser que la supuesta base de datos en el mercado negro contenga registros de más asegurados del IMSS y no sólo de personas pensionadas.

El equipo de prensa del IMSS, citado por El Universal, dijo que las “investigaciones preliminares” sugieren “una posible filtración por el uso indebido de acceso a información institucional por parte de personal”.

• En español: no fue un hackeo, sino que personas con la contraseña para ingresar a los sistemas informáticos del IMSS robaron los datos personales.
• El acceso no autorizado a información del Estado es penado por la justicia federal (Capítulo II del Código Penal Federal).

¿Quiénes lo hicieron? ¿Cuántos y qué datos se robaron? ¿Cuántas personas han sido afectadas? ¿Se filtraron datos de más personas aseguradas en el IMSS, además de pensionadas? Esas preguntas debe responderlas la Unidad de Protección de Datos Personales.

Desde fuera es difícil acreditar la veracidad de estos eventos de ciberseguridad, aunque en mi experiencia he visto que la mayoría de las veces se confirman.

Acreditarlo sin voluntad política será todavía más difícil.

• La revisión será “entre pares”: una oficina subordinada de Presidencia revisa a otra oficina subordinada de Presidencia, encabezadas ambas por personas de alta confianza de la presidenta Sheinbaum.

🍐 En lo que son peras o manzanas, la Unidad de Protección de Datos Personales se encuentra en una posición complicada: demostrar que tiene la capacidad técnica y jurídica para validar si el IMSS falló en sus deberes de confidencialidad y seguridad.

• Y si lo confirma, imponer responsabilidades administrativas a los funcionarios involucrados, lo que sería como ajusticiar a su miembros de su propia familia.

¿Qué puede salir mal?

6 consejos para cuidarte

De ser cierta la filtración, el IMSS tiene la obligación legal de informar “sin dilación” a las personas afectadas sobre el incidente y el tipo de datos que fueron robados. (Artículo 34 de la Ley de datos personales para instancias públicas)

En lo que recibes esa notificación, te doy algunos consejos:

1. Revisa tu correo

Tu correo será la manera en que el IMSS te notifique del incidente. Hazlo con precaución: el correo también puede ser la vía en que alguna persona malintencionada con acceso a tus datos quiera engañarte con una comunicación falsa.

2. Ignora mensajes sospechosos

Nunca proporciones contraseñas ni información confidencial y tampoco confirmes datos personales a personas no autorizadas. Averigua con quién te estás comunicando antes de interactuar.

3. ⚠️ Sospecha de trámites inesperados

Tu nombre, dirección y CURP son la base para falsificar identificaciones y solicitar créditos o subsidios a tu nombre. No firmes documentos ni entregues copias de tu INE o pasaporte a menos que tú hayas iniciado el trámite y verifiques la identidad del solicitante.

4. 🩺 Cuidado con la información sensible

Duda sobre cualquier comunicación que involucre “tu historial médico”. Los datos supuestamente filtrados incluyen padecimientos médicos (información sensible), lo que puede motivar a personas malintencionadas a usarlos para ganar tu confianza.

Si recibes una comunicación sobre una “cita pendiente”, un “tratamiento especial” o un “beneficio por tu condición”, contacta a tu clínica del IMSS usando sus teléfonos oficiales para confirmar la información.

5. 📪 Vigila tu correspondencia postal

Revisa tu correspondencia física. Los criminales pueden suplantar tu identidad para abrir cuentas o solicitar documentos. Presta atención a cartas inesperadas de instituciones financieras, oficinas de gobierno o tiendas departamentales. Si ves correspondencia sospechosa, contacta a la institución de inmediato.

6. ⚖️ Denuncia ante la agencia de privacidad

Contacta a la Unidad de Protección de Datos Personales para presentar una denuncia por la supuesta vulneración a tus datos personales. Esto fuerza a la autoridad a investigar el caso de oficio y establece un precedente legal de que tus datos fueron afectados, lo cual podría ser útil en futuros litigios por robo de identidad.

• Aquí, una guía explicativa sobre los incidentes de seguridad de datos personales, desarrollada por el Inai en 2018.

Newsletters anteriores

• Amazon, Mercado Libre y Cofece
• Si el algoritmo es del gobierno, es tuyo también
• Da clic para cancelar
• IFT vs. AT&T: historia de una multa
• Bloqueo de plataformas e identificación de personas
  • Ver todas

Sobre mí

Soy José Soto Galindo, periodista. Escribo Economicón y una columna semanal en El Sol de México. Fui director de Medios del Inai. Edité El Economista en línea. Soy maestro en Transparencia y Protección de Datos Personales, con estudios en derecho de las telecomunicaciones y de las tecnologías de la información. He dado clases en el ITESO, la Carlos Septién, la Anáhuac Oaxaca y la Universidad de Guadalajara.

Servicios

Escríbeme si quieres:

• 📖 Escribir tu propio libro y no tienes tiempo de hacerlo tú mismo.
• 👩🏽‍⚖ Enseñar a tu equipo de abogados a comunicarse sin abogañol.
• 👩🏻 Aprender lo más relevante de la nueva ley de datos en México.
• 📬 Desarrollar una estrategia de newsletters en tu organización.

🤑 Con tu ayuda puedo dar vida a Economicón:

• Compra una suscripción de pago en Substack o dona con PayPal.
• Obtén charlas personalizadas, documentos exclusivos y consultas directas.

Otras noticias

Privacidad y datos personales

• Canadá: TikTok collected sensitive data on Canadian children, investigation finds (Reuters 🔒)
• España: A judge ordered Google to share its search data. What does that mean for user privacy? (NPR)
• Estados Unidos: The N.Y.P.D. Is Teaching America How to Track Everyone Every Day Forever (The New York Times 🔒)
• Estados Unidos: Should ‘surveillance pricing’ be banned? (NPR)
  • En Economicón: 🏷️ Precios por vigilancia
• México: Juez otorga suspensión definitiva a ARTICLE 19 contra normas de vigilancia (Artículo 19)
  • En Economicón: Bienvenido a la nueva era de vigilancia y control social
  • En Economicón: 👁️ Big Brother a la mexicana
• México: Reforma para impedir uso de “buró laboral” en contratación de personal avanza en el Senado (Senado)
  • En Economicón: Buró laboral en México
• Patrones adictivos y el derecho a la integridad de la persona (AEPD)
  • El estudio: Patrones adictivos en el tratamiento de datos personales. Implicaciones para la protección de datos (AEDP)
• Samsung brings ads to US fridges (The Verge)

Inteligencia artificial y plataformas

• México: Bots, deepfakes y minería de datos: así es como cárteles usan la IA para ampliar su poder criminal (Wired)
• ¿Está mi hijo hablando con un pederasta mientras juega en Roblox? (The Conversation)
• Amazon reaches $2.5 billion settlement over FTC’s Prime lawsuit (Axios)

Otras lecturas

• Guardian financial chief: Investment in journalism is driving revenue (PressGazette 🔒)
• Ayudamos a proteger a los periodistas y las noticias locales contra los rastreadores de IA con el proyecto Galileo (Cloudflare)
• Estados Unidos: Judge Rejects Trump’s ‘Tedious and Burdensome’ New York Times Defamation Lawsuit (Democracy Docket)
• Viejos vicios en la nueva Suprema Corte, de Viri Ríos (El País 🔒)
  • En Economicón: 🦖 Sobre el abogañol
• Alejandro González Iñárritu, 25 años después de Amores perros: “Los criminales no son los que roban bancos, sino quienes los crean” (El País 🔒)

Comentarios