TOTAL: {[ getCartTotalCost() | currencyFilter ]} Update cart for total shopping_basket Checkout

The Privacy Advisor | Otro incidente de seguridad que involucra a Equifax, ahora en Argentina Related reading: Why employers must watch out for PHI data breaches

rss_feed

Luego de la brecha de seguridad sufrida por Equifax, Inc. en EE.UU. el pasado 13 de septiembre, trascendió que la filial local denominada Veráz, habría tenido una falla de seguridad que afectaría a la Argentina.

Como es de público conocimiento, días atrás se conoció la noticia de que Equifax Inc. -compañía dedicada al riesgo crediticio- habría sufrido un incidente de seguridad de grandes dimensiones que comprometería la información de aproximadamente 143 millones de registros, principalmente de usuarios en los Estados Unidos. Si bien el ataque ocurrió en julio de este año, la compañía decidió hacer público el incidente recién los primeros días del mes de septiembre, lo cual fue objeto de críticas por el tiempo transcurrido desde el suceso hasta el comunicado oficial.

En esta oportunidad, la brecha de seguridad involucra a la filial argentina, Organización Veraz SA. Organización Veraz constituye uno de los bureau de crédito más importantes del país. Según los trascendidos, la falla de los sistemas de seguridad de la empresa habían expuesto los datos de aproximadamente 14.000 registros, incluyendo información de personas que se contactaron con el Centro de Atención al Público de Veraz para verificar el estado de su trámite de actualización de informe crediticio y de los empleados de la compañía que atendieron esos reclamos.

La falla habría sido verificada por la compañía Hold Security, quien detectó que un portal interno de Organización Veraz diseñado para ser usado por empleados, tenía bajas medidas de seguridad. A modo de ejemplo, usaba como contraseña por defecto al conocido “admin/admin”.

Organización Veraz reconoció a los medios que se habría descubierto una potencial vulnerabilidad en un portal interno pero que ello no afectaba de modo alguno a los consumidores ni a la información comercial y crediticia contenida en sus bases de datos. Asimismo, la empresa destacó que la base de datos no fue ni vulnerada, ni objeto de ningún ciberataque y que este hecho no guarda relación alguna con el ataque de cyberseguridad que ocurrió en Estados Unidos.

Cabe señalar que la Ley de Protección de Datos Personales N° 25.326 -vigente en Argentina desde el año 2000- no dispone una obligación de notificar incidentes de seguridad a los titulares de los datos personales o a la autoridad de contralor. Tan solo la Disposición 11/2016 de la Dirección Nacional de Protección de Datos Personales, que reglamenta las medidas de seguridad, se refiere a las brechas de seguridad, al disponer que todos los sucesos que comprometen la seguridad de los datos deben ser almacenados en un registro de incidentes y la autoridad de aplicación se encuentra habilitada para acceder al mismo en el marco de alguna inspección o procedimiento de verificación.

El texto del Anteproyecto de Protección de Datos Personales que elaborará la Dirección Nacional de Protección de Datos Personales y que sigue los lineamientos del Reglamento General de Protección de Datos Personales de Europa sí prevé expresamente la obligación de notificar incidentes de seguridad. Consecuentemente, de ser aprobado el Anteproyecto en su redacción actual por el Congreso, las empresas deberán notificar a la autoridad de contralor y a los titulares de los datos afectados los incidentes sufridos.

Los incidentes que involucraron a Equifax se suman al listado de eventos de brechas de seguridad que han sufrido las empresas en el mundo. Los temas de seguridad de la información y protección de datos personales adquieren cada día mayor relevancia -fruto de las significativas y graves consecuencias que estos pueden acarrear para las empresas-, en especial, en aspectos relacionados con los daños a la reputación empresarial y en los mayores costos y gastos destinados a la investigación de los sucesos y la adopción de los planes de remediación. Sin lugar a dudas, la adopción de las soluciones de seguridad informáticas más avanzadas, así como la revisión de las políticas en materia de seguridad y protección de datos, la capacitación permanente del personal y la implementación de programas y estrategias de respuesta ante brechas, entre otras medidas, son esenciales para enfrentar, de mejor forma, estas contingencias.

Comments

If you want to comment on this post, you need to login.