Pese a mayor cuidado de datos, empresas de EU fallan en protocolo de seguridad
La nueva ley de protección de datos de California brinda a los consumidores un control total sobre la cantidad de información personal que pueden recopilar las empresas. Permite a las personas optar por que sus datos no sean recopilados en absoluto, e incluso hace que sea más fácil demandar a las empresas a raíz de una violación de datos.
Pero nada de eso garantiza que ninguno de esos datos esté seguro.
Aunque algunos defensores de la privacidad elogian la Ley de Privacidad del Consumidor de California de 2018 como un modelo a seguir por otros estados, la legislación dice poco sobre lo que se debe hacer para proteger todos esos datos una vez que las empresas los tienen.
Lee: 4 tips para mantener tu seguridad y privacidad en Gmail
Grandes jugadores como Facebook o Google tienen sólidos protocolos de seguridad y equipos completos dedicados a mantener a raya a los hackers y ladrones. Pero hay un número incalculable de compañías tecnológicas, firmas de mercadotecnia y otras que poseen gran cantidad de información y que posiblemente no tienen los recursos para garantizar su custodia.
Ese punto fue reforzado con la noticia de que Exactis, una firma de mercadotecnia de datos de Florida, con cuatro empleados, inadvertidamente expuso una base de datos que contiene información personal sobre aproximadamente 230 millones de consumidores y 110 millones de negocios. El conjunto de datos incluía números de teléfono, direcciones de correo electrónico, domicilios, e incluso información como pasatiempos y aportaciones políticas.
El investigador de seguridad Vinny Troia descubrió la fuga, reportada por primera vez por Wired, y confirmó sus hallazgos a CNNMoney.
El presidente ejecutivo de Exactis, Steve Hardigree, dijo a CNNMoney que su compañía corrigió el problema inmediatamente después de que Troia lo identificara, y dijo que no hay indicios de que alguien haya accedido a la información.
También hizo hincapié en que la empresa no recopila información confidencial, como números de Seguridad Social o información de tarjetas de crédito.
Recomendamos: Las marcas son la nueva ‘democracia online’: Edelman
Exactis es solo una de las muchas compañías que compilan grandes conjuntos de datos. "No es un negocio singular”, dijo Troia. “En este caso, simplemente fueron descubiertos con la puerta abierta”.
Dos días después de que se conociera la noticia de la filtración, una violación de datos en la Capacitación de Respuesta Rápida para Fuerzas Policiales Avanzadas de la Universidad Estatal de Texas expuso la información personal de miles de agentes de la ley. En ese caso, que fue reportado por primera vez por ZDNet, la información personal estaba almacenada en un servidor web no seguro, dijo un portavoz de la universidad a CNNMoney.
Las violaciones de datos pueden sucederle a cualquiera, por supuesto; solo pregúntale a Equifax, que experimentó un hackeo que expuso la información personal de más de 147 millones de personas el otoño pasado.
Tales incidentes muestran que, en general, Estados Unidos está “absolutamente no preparado” para enfrentarlos, dijo el experto en seguridad James Norton. Él fue vicesecretario adjunto de asuntos legislativos del Departamento de Seguridad Nacional durante la presidencia de George W. Bush y ayudó a implementar primer equipo de seguridad cibernética del departamento.
Lee: ‘Rekognition’, la tecnología de Amazon que te identifica
“Estas cosas están sucediendo tan rápido y tan furiosamente que no estamos listos para lidiar con ellas, ya sea a nivel gubernamental, personal o del sector privado”, dijo. “A menos que exista un requisito para proteger los datos —ya sea un mandato federal o proveniente del consumidor—, no estoy seguro de que eso vaya a cambiar”.
La Ley de Privacidad del Consumidor de California de 2018 hace un esfuerzo por abordar eso. Específicamente establece que cualquier consumidor cuya “información personal no cifrada o no censurada” se vea comprometida “como resultado de la violación de la empresa a su obligación de implementar y mantener procedimientos y prácticas de seguridad razonables según la naturaleza de la información” puede demandar por daños y perjuicios.
“Esencialmente, requiere que las empresas sigan procedimientos de seguridad razonables y protejan la información encriptándola o censurándola”, dijo un portavoz del senador estatal de California Robert Hertzberg, quien fue coautor de la ley.
“Ante cualquier cosa que no esté incluida en el proyecto de ley, es probable que esas normas y procedimientos sean desarrollados por el fiscal general durante los próximos 18 meses antes de que el proyecto de ley entre en vigor”.
Recomendamos: Firma de seguridad alerta por 35 ‘apps’ falsas en Android
La elaboración de esos detalles es importante porque muchas empresas que recopilan datos personales continúan cometiendo “errores básicos” en la forma en que los protegen, dijo Richard Forno, director asistente del Centro de Ciberseguridad UMBC.
“En 2018, no deberíamos estar viendo este tipo de incidentes e infracciones”, dijo.
La ley de California no es tan amplia como el Reglamento General de Protección de Datos de la Unión Europea. Pero incluso las regulaciones más estrictas de Europa no pueden hacer mucho para prevenir fugas y violaciones, porque no requieren que las compañías digan a los consumidores que tienen sus datos, de acuerdo con Troia.
Garantizar el 100% de la seguridad es imposible. “Sin embargo, tenemos que seguir tratando de alcanzar ese objetivo”, dijo Forno.
Con ese fin, él y otros expertos en seguridad dijeron que las empresas deberían seguir las mejores prácticas establecidas como encriptar datos, redactar protocolos de seguridad integrales y alertar a los consumidores sobre las violaciones.
Tales cosas no detendrán las infracciones de seguridad, pero, al igual que poner cerradura a una puerta de entrada o instalar una alarma, harán mucho más difícil que los malos entren, lo cual es el punto.
