La refinería Deer Park de Pemex sufrió una filtración de datos personales
José Soto Galindo
7 julio, 2022La refinería Deer Park informó a la Fiscalía General de Texas de una filtración de datos que provocó la pérdida de nombres y números de seguridad social bajo su resguardo. Se desconoce el tamaño de la afectación.
La refinería Deer Park sufrió un incidente de seguridad de la información que expuso datos personales, en particular nombres y números de seguridad social, de acuerdo con la notificación que la compañía propiedad de Pemex en Texas hizo al fiscal general de ese estado en Estados Unidos.
La legislación de Texas obliga a que ciertas compañías que sufran vulneraciones en sus sistemas informáticos notifiquen a los titulares de datos por correo electrónico e informen a las autoridades cuando el volumen de texanos afectados supera las 250.
Se calcula que, al cierre de 2021, en Deer Park laboraban 1,500 empleados directos y 1,200 contratistas, aunque no fue hecho público el número total de personas afectadas por la filtración de datos personales.
La notificación de Pemex, propietaria de Deer Park Refining L.P., se publicó este jueves en el sitio de Informes de Filtración de Datos de la Fiscalía General de Texas.
“Esta notificación se da gracias a la iniciativa del Gobierno de Texas” para proteger a los titulares de datos afectados, dijo Hiram Camarillo, director y fundador de la firma de ciberseguridad mexicana Seekurity. Camarillo dio a conocer la notificación de Deer Park a la Fiscalía de Texas en su cuenta de Twitter.
En México podría haber consecuencias en términos de la ley general de protección de datos, incluso si la filtración ocurrió en una jurisdicción fuera de México, por tratarse de una entidad regulada por la ley mexicana. “Pemex debe responder por la licitud de ese tratamiento [de datos personales], lo que queda sujeto a la ley mexicana porque el responsable está en México”, dijo Gregorio Barco Vega, abogado senior y director de Investigación, Desarrollo e Investigación de Davara Abogados, un despacho jurídico mexicano experto en protección de datos personales.
“El inai tiene facultades y podría investigar a ambos, pero más a Pemex, y éste deberá requerir a su encargado de protección de datos que proporcione toda la información necesaria para desahogar la investigación”.
La petrolera mexicana Pemex adquirió a Shell Oil Company —una subsidiaria de Royal Dutch Shell— el 50% de su participación en la refinería en enero de 2022 para convertirse en su único dueño. Deer Park está ubicada en la zona de Houston y se dedica al procesamiento de petróleo crudo, con una capacidad de 340,000 barriles por día.
Pemex es la empresa más grande de México. Es de propiedad estatal y es la decimoprimera firma en producción de crudo a escala global. Además de crudo, produce gas natural y productos refinados.
“Tras varios incidentes de seguridad en Pemex, podemos entender que no se está llevando a cabo una correcta gestión de la seguridad de la información aunque sus actividades estén reguladas por distintos países”, añadió Camarillo.
De acuerdo con la legislación texana en materia de protección al consumidor, que también protege los datos personales, Pemex debió entregar a la fiscalía “una descripción detallada de la naturaleza y las circunstancias” del incidente, además del “número de residentes de Texas afectados” y el “número de residentes afectados” a quienes ya se les notificó de la vulneración de su información personal.
La legislación también ordena informar a la Fiscalía si la Policía está involucrada en la investigación del incidente, pero estos datos no son públicos en los Informes de Filtración de Datos.Un representante de la Fiscalía dará seguimiento a la notificación, para proceder en términos de la Texas House Bill 3746 o Ley de Cumplimiento y Protección Contra el Robo de Identidad de Texas.
Hackeos a empresas privadas
- Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
- Hackear a Rackspace (14 de diciembre, 2022)
- Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
- Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
- Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
- Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
- Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
- Lecciones del hackeo a iVoy (10 de agosto, 2020)
- Lecciones del hackeo a Bitso (11 de junio, 2020)
- Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
- Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
- Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
- Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
- ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
- Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
- Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
- Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
- Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
- Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
- Hackear las elecciones (9 de junio, 2017)
- Yahoo: Hit me, baby, one more time (24 de enero, 2017)
Suscríbete a mi newsletter sobre privacidad y sociedad de la información: economía digital, comercio electrónico, periodismo. La publico cada martes a las 6am.
Puedes darte de baja en cualquier momento dando clic en el enlace de cancelación de suscripción de mis correos electrónicos.
Acá, mi aviso de privacidad y el de Mailchimp (Intuit), el servicio que uso para el envío de newsletters.