Tecnología

Mal manejo de datos personales puede impactar bases de datos biométricos

En la medida que las empresas y dependencias en México no cuenten con procesos óptimos para manejar datos personales, manejar bases de biométricos puede ser riesgoso.

mié 29 enero 2020 05:22 PM

Nuevo sistema — Citibanamex implementará reconocimientos biométricos en sus cajeros automáticos, como huella digital, reconocimiento facial o de iris hacia finales de 2017. (HQuality/Shutterstock / HQuality)

Gabriela Chávez

La reciente iniciativa gubernamental para crear la Cédula Única de Identidad y que dependencias de gobierno como la Secretaría de Gobernación, Relaciones Exteriores y otras recolecten y administren datos biométricos de los ciudadanos mexicanos para realizar trámites u operaciones ha puesto posiciones encontradas.

El Instituto Nacional Electoral (INE) y la Segob son los dos casos más visibles en torno a dicho desacuerdo, pues mientras el INE argumenta que no tendría porqué compartir dicha información ciudadana con otros, pues pone en riesgo lo datos, el órgano de gobierno advierte lo contrario; pero si bien por ahora la polémica ha dejado a la iniciativa e biométricos en pausa, expertos en ciberseguridad advierten que para implementar una medida como ésta primero se deben de revisar los procesos de las dependencias para el manejo de datos personales, para no incurrir en riesgos.

“Estos son datos más críticos y son datos que permiten identificar a las personas directo por aspectos físicos y hasta hereditarios y aunque hay una ley para la protección de los mismos tanto en iniciativa privada como en gobierno hemos visto que los incidentes siguen manifestándose ya sea por el descuido de la mismas instituciones o por el mal manejo de información, pero los incidentes se han manifestado, incluso hay sanciones, pero siguen pasando cosas”, dijo a Expansión, Miguel Mendoza, investigador de ciberseguridad para ESET Latinoamérica en conferencia de prensa.

En la medida que se quieran aplicar este tipo de medidas en el país, Mendoza recomendó que cada empresa debe contar con su propio sistema de gestión de datos, para darle certidumbre a la ciudadanía del manejo de los mismos y de que pueden ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación, Oposición, Limitación y Portabilidad) - derechos que toda persona puede ejercer sobre sus datos personales en el país- en el momento que lo deseen.

“Cada empresa debe tener un sistema de gestión de información para dar cumplimiento a los derechos ARCO y de manera general lo que se entendió es que con el aviso de privacidad se daba cumplimiento a la ley pero en la práctica no es así. Se tiene que hacer una reingeniería de los procesos en la organizaciones, por una lado hay un mal entendimiento de lo que significa proteger los datos, no se protegen del todo y aunque hay sanciones vemos que en términos generales la medidas de seguridad no han sido las adecuadas”, dice Mendoza.

En México, según un estudio realizado por PwC, 48% empresas incumple con al menos uno de los requerimientos en los procesos de manejo óptimo de datos personales que marcan las leyes de protección de datos personales; según el estudio 87% de las firmas solo se remite a cumplir con tener visible el aviso de privacidad.

Ransomware dirigido al alza

A la par de las filtraciones de datos personales que pueden ocurrir en el país por el poco entendimiento de sistemas y plataformas tecnológicas, una de las amenazas de ciberseguridad que continúa latente en el país es el ransomware o secuestro de datos.

Este tipo de ciberataque, como el que vulneró a finales de 2019 los sistemas de cómputo de Pemex, es una de las tendencia que se ve al alza en México en 2020.

Si bien, desde el caso de Wannacry en 2017, se vio una disminución en el volumen de estos casos, Mendoza, advierte que los ataques dirigidos son los que han ido en crecimiento y son los que pueden hacer mucho más daño a una persona, empresa o red definida.

“Cambió el enfoque, ya no es tan masivo desde 2017, y se convirtieron en ataques dirigidos. Pemex en un ejemplo y la razón es que si bien las empresas ya invierten un poco más en ciberseguridad, no es suficiente, y solo se necesita un resquicio en la red para que puedan entrar y vulnerarla. Se mantiene la tendencia en ataques a instituciones públicas y privadas, lo seguimos observando en 2019 y veremos más en 2020”, dice Mendoza.