martes, 20 de marzo de 2018

No siempre es un hacker quien causa la pérdida de confidencialidad


Los ataques de ransomware son tan comunes y hay tanta prensa alrededor de vulnerabilidades como Meltdown, que a veces se pierde de vista que pueden existir otras causas que ocasionen pérdida de datos.

Un ejemplo es el caso del operador de seguros Triple-S en Puerto Rico. Esta empresa notificó a cerca de 36.000 usuarios de la pérdida de confidencialidad en la información debido al envío de correo a direcciones equivocadas. Usualmente los balances médicos pueden contener información acerca del número de cuenta, muy útil a la hora de configurar el usuario en línea, y otra información personal acerca de las dolencias médicas que puedan al recipiente legítimo.

Triple-S ha indicado que ha revisado sus procesos de manejo de correo y corregido las fallas que permitieron este error. Sin embargo, no es la primera vez que Triple-S se ve envuelta en este tipo de problemas. Anteriormente en el 2015 el regulador médico ya le había impuesto cuantiosas multas por sus descuidada administración y malas prácticas de seguridad informática.

Como he hecho notar en similares casos, esta información solo es sabida por las estrictas regulaciones existentes en los Estados Unidos y Europa que exigen que se haga público cuando los datos de usuarios son capturados por hackers o simplemente llegan a la persona equivocada. Como es bien sabido, Puerto Rico debe cumplir la legislación norteamericana y por eso hemos sabido del caso Triple-S.

Mientras tanto el resto de usuarios latinoamericanos tenemos que contentarnos con la oscura respuesta “por motivos de seguridad”. Esta falta de transparencia y el atraso latinoamericano en este campo y la ausencia de transparencia nos impide saber si la entidad donde depositamos nuestro dinero o tiene nuestra historia médica falla en su responsabilidad como garante de nuestra privacidad.