Los documentos contenían números completos o parciales de la Seguridad Social y el acceso ilegal a la información de cuentas de unos 280.000 usuarios. Conozca las repercusiones de este caso.
La Comisión Federal de Comunicaciones de Estados Unidos alcanzó un acuerdo por US$25 millones con AT&T Inc por una filtración de datos de sus usuarios en centros de atención telefónica en México, Colombia y Filipinas, informó el organismo regulador el miércoles.
El incidente provocó la revelación no autorizada de nombres, así como números completos o parciales de la Seguridad Social y el acceso ilegal a la información de cuentas de unos 280.000 clientes estadounidenses de AT&T, indicó un alto funcionario de la comisión a la prensa en una teleconferencia.
Los datos fueron usados por empleados de centros de atención telefónica para solicitar el desbloqueo de los códigos de los teléfonos de AT&T y compartirlos con terceras partes que parecen haber estado traficando con celulares robados, dijo el funcionario. El incidente ocurrió en 2013 y 2014.
AT&T indicó en un comunicado que "desgraciadamente, algunos de nuestros vendedores no cumplieron los estándares, así que estamos eliminando los sitios de venta, como es lo apropiado. Hemos cambiado nuestras políticas y fortalecido nuestras operaciones".
La multa de US$25 millones impuesta al segundo operador inalámbrico más importante del país es la mayor hasta la fecha referida a seguridad de datos, agregó el funcionario.
En octubre, la comisión multó con US$10 millones a las compañías de telecomunicaciones TerraCom y YourTel por fallas en la privacidad de los consumidores.
LA GRAVEDAD DEL ROBO
Las consecuencias del robo documentado por la FCC van desde la violación del derecho a la privacidad o incluso suplantación de identidad —la investigación arrojó que entre los datos robados están números de seguridad social— hasta el robo y fomento al mercado negro de teléfonos móviles. Tan sólo en México se registraron en el 2014 unas 440.000 denuncias de robo a móviles, de acuerdo con la asociación de operadores móviles GSMA.
“Esto favorece el robo de (teléfonos) celulares y permite que el teléfono, una vez robado, pueda ser desvinculado de una empresa como AT&T y ser cambiado a otro proveedor. Favorece de manera indirecta el robo de celulares”, dijo Cédric Laurant, Gerente de Tecnologías de la Información y Derechos de Autor con el bufete de abogados Dumont Bergman Bider & Co y experto en protección de datos personales en México.
La FCC dio a conocer que al menos dos empleados que presuntamente estaban involucrados en el acceso no autorizado a la información de los clientes, confesaron que vendieron la información robada a un tercero, conocido como “El Pelón”, que sería una persona o grupo dedicado al tráfico de información.
AT&T anunció el año pasado la compra de la operadora móvil Iusacell y a inicios de este año a Nextel México, con lo que marcará su entrada al mercado nacional de telecomunicaciones.
Además de la multa, la FCC ordenó a AT&T el mejorar sus prácticas de privacidad y seguridad de datos mediante el nombramiento de un administrador de cumplimiento superior, certificado profesionalmente en privacidad, para que realice una evaluación de riesgos de privacidad; también ordenó la implementación de un programa de seguridad de la información, la creación de un manual de cumplimiento adecuado y una formación regular de los empleados en políticas de privacidad de la empresa y las autoridades legales de privacidad aplicables.
AT&T va a presentar informes periódicos sobre el cumplimiento de las disposiciones a la FCC.
REPERCUSIONES EN MÉXICO
Emily Edmonds, de AT&T, negó en un correo electrónico que esta brecha así como los requerimientos de la FCC vayan a cambiar las operaciones que tiene la compañía en México.
Aunque Cédric Laurant consideró que: "AT&T va a tener que tomar varias medidas de seguridad para corregir la manera en que daba la autorización a encargados de acceso a la información de los suscriptores de telecomunicaciones, y esas medidas seguramente va a imponerlas a todos los encargados del mundo y seguramente la FCC va a revisarlo".
Si bien las autoridades mexicanas, específicamente el Instituto Federal de Acceso a la Información y Protección de datos personales (IFAI), sólo tendrían injerencia si algún usuario mexicano se hubiera visto afectado, existen lecciones que podrían extraerse. Una de ellas es la mayor transparencia en el manejo de la información.
“Para los usuarios y las empresas hay una interacción que pide respetar datos personales, pero a su vez el reconocimiento de que la tecnología puede servir para procurar justicia y prevenir delitos. En este caso es importante que exista transparencia de si los datos fueron accesados y bajo qué fundamento legal y por qué institución. La transparencia de esta relación es quizás uno de los componentes más importantes”, consideró Jesús Romo, analista de la firma de análisis Telconomía.
Por parte del IFAI, se debería realizara una investigación exhaustiva sobre los call center que proveen servicios a estas empresas pero al no revelarse en cuál contratista ocurrió la brecha de seguridad, tendrían que emitirse lineamientos y recomendaciones para este tipo de proveedores, consideró Laurant.
"Como lección de este caso, debería emitir recomendaciones para call centers, que tienen que cumplir con reglas de seguridad del reglamento mexicano y requiriendo que se tomen medidas más fuertes de protección de datos", dijo el especialista.
Lo cierto es que si este tipo de vulneraciones ocurren en México, pasan prácticamente desapercibidas por parte de las autoridades. Un claro ejemplo es el hackeo que sufrió Liverpool en diciembre del año pasado.
* Con información de Reuters y Eleconomista.com.mx