Noviembre 22 de 2007 , Dos CD con información de 25 millones de personas se extraviaron al ser enviados por correo físico. Fraudes bancarios y suplantación de identidades, entre los riesgos.
Por este episodio, que mostró lo vulnerable que puede ser la información personal en la era digital, el primer ministro británico, Gordon Brown, tuvo que ofrecer disculpas ayer a los ciudadanos de su país.
Los discos extraviado incluyen los datos de todas las familias inglesas que reciben un subsidio estatal para sus hijos pequeños.
Según el diario The Wall Street Journal, entre la información almacenada están nombres, direcciones, números de seguro social y en algunos casos números de cuentas bancarias. Esos datos podrían ser usados para robo de identidad o intentos de fraudes financieros.
Este incidente, que según The New York Times es "el más grave de su tipo que se ha presentado en Europa", encendió las alarmas sobre los riesgos que corre la información personal en una era en la entidades estatales y privadas almacenan todo tipo de datos sobre los ciudadanos, y en la que una base de datos con millones de registros se puede transportar en un CD, una memoria USB o un mensaje de correo electrónico.
En Colombia, de hecho, durante el 2007 se han presentado 17 delitos relacionados con robo de información, en este caso en firmas privadas, según el director de la Unidad de Delitos Informáticos de la Dijín, Freddy Bautista.
"Uno de ellos es el de una aseguradora a la que un empleado le sustrajo, mediante una memoria portátil USB, parte de la base de datos de sus clientes, que después entregó a la competencia. La pérdida por este delito está calculada en más de 500 millones de pesos", señaló el oficial.
Por este episodio, que mostró lo vulnerable que puede ser la información personal en la era digital, el primer ministro británico, Gordon Brown, tuvo que ofrecer disculpas ayer a los ciudadanos de su país.
Los discos extraviado incluyen los datos de todas las familias inglesas que reciben un subsidio estatal para sus hijos pequeños.
Según el diario The Wall Street Journal, entre la información almacenada están nombres, direcciones, números de seguro social y en algunos casos números de cuentas bancarias. Esos datos podrían ser usados para robo de identidad o intentos de fraudes financieros.
Este incidente, que según The New York Times es "el más grave de su tipo que se ha presentado en Europa", encendió las alarmas sobre los riesgos que corre la información personal en una era en la entidades estatales y privadas almacenan todo tipo de datos sobre los ciudadanos, y en la que una base de datos con millones de registros se puede transportar en un CD, una memoria USB o un mensaje de correo electrónico.
En Colombia, de hecho, durante el 2007 se han presentado 17 delitos relacionados con robo de información, en este caso en firmas privadas, según el director de la Unidad de Delitos Informáticos de la Dijín, Freddy Bautista.
"Uno de ellos es el de una aseguradora a la que un empleado le sustrajo, mediante una memoria portátil USB, parte de la base de datos de sus clientes, que después entregó a la competencia. La pérdida por este delito está calculada en más de 500 millones de pesos", señaló el oficial.
Así se extravió la información
La Oficina Nacional de Auditoría de Inglaterra (NAO) solicitó al Departamento de Hacienda y Finanzas los datos de las personas que reciben subsidios estatales por hijos menores.
Dicha información fue grabada en dos CD y enviada por correo no certificado a la NAO. Según expertos, el procedimiento correcto era invitar a los funcionarios de la NAO a que revisaran los datos en un computador de la otra entidad.
Los discos nunca llegaron a la NAO, que los pidió de nuevo. El Departamento de Hacienda y Finanzas volvió a despachar los CD, esta vez por correo certificado. Lo grave es que en ninguno de los dos envíos la información de los discos iba cifrada (eso la haría ilegible para un intruso). Estaba protegida solo con una contraseña (cualquiera puede bajar de Internet programas que permiten violar las claves).
Apenas el 8 de noviembre (20 días después del primer envío), los funcionarios de Hacienda y Finanzas reportaron la pérdida del primer paquete. Alistair Darling, ministro de finanzas, fue informado el 10 de noviembre, pero el Gobierno no reveló el problema al público durante dos semanas más, según el periódico 'Times', por petición de los bancos, que querían tomar medidas para evitar intentos de fraude.
La Oficina Nacional de Auditoría de Inglaterra (NAO) solicitó al Departamento de Hacienda y Finanzas los datos de las personas que reciben subsidios estatales por hijos menores.
Dicha información fue grabada en dos CD y enviada por correo no certificado a la NAO. Según expertos, el procedimiento correcto era invitar a los funcionarios de la NAO a que revisaran los datos en un computador de la otra entidad.
Los discos nunca llegaron a la NAO, que los pidió de nuevo. El Departamento de Hacienda y Finanzas volvió a despachar los CD, esta vez por correo certificado. Lo grave es que en ninguno de los dos envíos la información de los discos iba cifrada (eso la haría ilegible para un intruso). Estaba protegida solo con una contraseña (cualquiera puede bajar de Internet programas que permiten violar las claves).
Apenas el 8 de noviembre (20 días después del primer envío), los funcionarios de Hacienda y Finanzas reportaron la pérdida del primer paquete. Alistair Darling, ministro de finanzas, fue informado el 10 de noviembre, pero el Gobierno no reveló el problema al público durante dos semanas más, según el periódico 'Times', por petición de los bancos, que querían tomar medidas para evitar intentos de fraude.
Cómo se protegen entidades
Para evitar que situaciones como la de Inglaterra se presenten en Colombia, varias entidades oficiales trabajan en la implementación de sistemas para proteger la información crítica de los colombianos. Ese es el caso de la Dirección de Impuestos y Aduanas Nacionales (Dian), que desde el 2002 puso en marcha el proyecto Muisca, un sistema que maneja la información tributaria del país, y que en los próximos años permitirá consolidar en un solo lugar todos los datos de personas y empresas que pagan impuestos.
Por su lado, la Superintendencia Financiera expidió hace unas semanas una circular donde se establecen los requerimientos mínimos de seguridad de la información que deben poner en práctica las entidades del sector y sus proveedores de tecnología.
El documento ordena, por ejemplo, dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de las entidades, cifrar los datos privados que se envían por correo electrónico e instalar en los equipos herramientas que impidan la captura de los datos de los clientes.
La circular toma en cuenta no solo el manejo de la información en las oficinas del sistema financiero, sino en su red de cajeros automáticos, receptores de cheques y dinero en efectivo, datáfonos, sistemas de audio respuesta, call center, Internet y nuevos canales.
Cuál es el peligro con estos datos
Las autoridades británicas aclararon que, aunque la copia de esos datos está perdida, por ahora no hay señales que indiquen que se han utilizado en actividades delictivas.
Sin embargo, existe el riesgo de que eso suceda. En caso de caer en las manos de criminales, una base de datos como la que se refundió en Inglaterra serviría para:
Robo de identidad. Con la información de identificación personal y el número de seguridad social se pueden solicitar servicios, subsidios, productos o acceder a documentos de la víctima (extractos, nómina, suscripciones, etc.).
Fraudes bancarios. Con datos financieros como números de cuenta o de tarjetas de crédito es posible hacer compras por Internet. Incluso, si el delincuente logra descubrir las contraseñas de la persona (lo cual se facilita al tener tantos datos personales, pues a veces la gente los usa en sus claves), podría hacer traslados de fondos u obtener dinero en efectivo.
Suplantación. La identidad de las personas puede ser usada por autores de delitos como estafa o robo.
Créditos. Se pueden solicitar créditos bancarios o respaldar compromisos financieros con dicha información.
Delitos comunes. Extorsiones o intentos de secuestro son otros de los peligros en países como Colombia, cuando la gente pierde el control de su información personal.
Cómo contrarrestar la vulnerabilidad en las bases de datos
La información digital se puede proteger, según la empresa de seguridad Symantec, tomando medidas como:
Definir con cuidado el perfil y nivel de los usuarios autorizados para manipular los sistemas en los que reposan los datos críticos de la empresa. Según Computer Associates, el 65 por ciento de los robos de información los cometen empleados.
Tener más que contraseñas. Las personas autorizadas no solo deberían introducir claves de acceso, sino también superar otros pasos de identificación, como lectura de huella digital o reconocimiento de voz (sistemas biométricos).
Tener transporte seguro. La información digital puede 'viajar' de forma segura a través de redes -como Internet- mediante VPN (redes virtuales privadas), una tecnología que crea una 'avenida' aislada y protegida para los datos. Esto evita que alguien pueda 'chuzar' la comunicación y capturar datos.
Cifrar todo. Encriptar la información es clave. Se hace a través de programas que 'blindan' los datos. Si alguien roba un CD de la compañía (como en el caso inglés), no podrá ver el contenido.
Políticas de seguridad. Hay que generar un manual que explique las normas mínimas de seguridad a los empleados de las entidades públicas y privadas.
ÁLVARO SANDOVAL Y JOSÉ CARLOS GARCÍAREDACCIÓN TECNOLOGÍA
eltiempo.com / vidadehoy
No hay comentarios:
Publicar un comentario