La empresa de mensajería iVoy es la nueva protagonista de una filtración de datos personales de ciudadanos mexicanos bajo su resguardo. El incidente fue admitido públicamente por la compañía después de que éste fuera difundido en un sitio de noticias de ciberseguridad, donde se alertaba de la venta de una base de datos de 127,000 registros robada a iVoy, y de que el especialista Hiram Alejandro Camarillo, de la consultora Seekurity, lo publicara en su cuenta de Twitter. De otra manera, este incidente de seguridad de la información habría quedado bajo secreto.

Las compañías en México no tienen la obligación de informar al público en general ni de alertar a la autoridad de protección de datos personales, el Inai, sobre incidentes de seguridad de la información que comprometan datos personales. Cuando se diseñó la ley que obliga a los privados, hace 10 años, la notificación a la autoridad no fue contemplada; esto fue distinto en 2017, cuando se publicó la ley para el sector público. Lo cierto es que en ambos casos la legislación protege a los ciudadanos por un mal uso de sus datos personales e impone sanciones por descuidos y negligencias que vulneren información personal.

En el caso de iVoy, un vocero de la compañía me aseguró que las áreas de tecnología y de servicio al cliente de la compañía “trabajan en conjunto para la emisión del informe oficial que será compartido a la brevedad con las autoridades correspondientes”. Además del Inai en materia de protección de datos personales, la otra autoridad involucrada debe ser la Fiscalía General de la República, para denunciar un delito cibernético.

En ciberseguridad existen tres tipos de organizaciones: 1. las que ya fueron hackeadas, 2. las que no han sido hackeadas pero lo serán y 3. las que ya fueron hackeadas y lo volverán a ser. Y en medio están las organizaciones que cometen errores en la configuración de seguridad cibernética o en el procesamiento de la información personal. Un error frecuente ocurre en la configuración de bases de datos alojadas en servicios en la nube, que quedan disponibles sin contraseñas ni otras medidas de seguridad y que luego son indexadas en motores de búsqueda especializados, susceptibles de acceso por personas no autorizadas. Es el caso reciente, por ejemplo, de la holding financiera Gentera o en 2019 de la consultora de negocios KPMG.

Pero sin importar qué tipo de error o ataque se haya sufrido, en ningún caso las organizaciones, públicas o privadas, están exculpadas: son responsables de proteger con la vida los datos personales que resguardan. Se trata de información personal de usuarios, clientes, empleados o proveedores que, en malas manos, puede lastimar el patrimonio de sus titulares. 

Un vocero de iVoy me aseguró que por el incidente de seguridad de la información sólo se vieron afectados “clientes directos de iVoy que acceden a nuestro portal, ningún cliente final (clientes de nuestros clientes) ha resultado afectado por el incidente” y afirmó que, de inmediato, alertaron a los usuarios afectados sobre el incidente y les recomendaron a “actualizar la contraseña de su cuenta iVoy y, en caso de utilizar la misma contraseña en otros sitios web, deberán actualizarla de igual manera”.

El aviso inmediato a los titulares de los datos es una obligación legal, prevista en el artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para que éstos puedan tomar medidas de defensa de sus derechos patrimoniales o morales.

iVoy no será la última compañía mexicana en sufrir una vulneración que deje expuestos datos personales. Es uno de los riesgos de participar de la economía digital, donde los datos representan su energía y su impulso principal, y los incidentes de seguridad de la información un riesgo constante.

Es importante documentar públicamente las filtraciones, como un ejercicio de alertamiento a los consumidores sobre la seguridad que dedican las compañías a una parte fundamental de su negocio: la información personal. La sanción reputacional puede ser una llamada de atención y una exigencia para dar la seriedad necesaria a la protección de los datos personales.

José Soto Galindo

Editor de El Economista en línea

Economicón

Periodista. Desde 2010 edita la versión digital de El Economista en la Ciudad de México. Maestro en Transparencia y Protección de Datos Personales por la Universidad de Guadalajara. Tiene especialización en derecho de las telecomunicaciones y las tecnologías de la información. Su blog personal es Economicón.