Pocas organizaciones inscriben sus ficheros en la Agencia de Protecci¨®n de Datos

El ¨²ltimo caso, esta misma semana. Un pirata inform¨¢tico ha puesto en peligro los datos personales y bancarios de los titulares de 40 millones de tarjetas de cr¨¦dito de entidades financieras como MasterCard, Visa o American Express. Hace dos semanas, Citibank perd¨ªa los datos de 3,9 millones de clientes. Desde principios de a?o, importantes empresas de EE UU han perdido o les han robado bases de datos con informaci¨®n de millones de personas.

Lo que a primera vista parece una oleada es, seg¨²n los expertos, algo normal. La diferencia est¨¢ en que nadie lo denunciaba, hasta la aparici¨®n de una ley en California que obliga a las empresas que sufran fugas a darlo a conocer p¨²blicamente.

A ra¨ªz de su entrada en vigor a mediados de 2004, empez¨® una avalancha de notificaciones de robos y p¨¦rdidas de datos que ha sacudido a la opini¨®n p¨²blica y ha provocado que el Congreso norteamericano estudie poner en marcha leyes para todo el pa¨ªs.

Los casos destapados muestran que la mayor¨ªa de empresas ven comprometidas sus bases de datos de tres formas: por la p¨¦rdida de discos de back-up, que suele gestionar una tercera empresa, por la entrada de intrusos o los empleados en el sistemas inform¨¢tico, y por el robo de ordenadores.

La desaparici¨®n de back-up ha afectado al Bank of America, que en febrero perdi¨® informaci¨®n de 1,2 millones de personas; al programa gubernamental Smart Pay, con m¨¢s de un mill¨®n de clientes afectados; a Ameritrade, que perdi¨® en abril los datos de 200.000 clientes, y a Time Warner, cuyas cintas de back-up con datos de 600.000 empleados volaron en mayo, durante un transporte.

En cuanto a la entrada en sistemas inform¨¢ticos, el Bank of America es protagonista del mayor robo de datos bancarios. A finales de mayo se supo que empleados del banco vendieron informaci¨®n de 670.000 clientes.

En febrero, diversas personas se hicieron pasar por clientes de Choice Point para entrar en sus sistemas y robar nombres, direcciones, n¨²meros de Seguridad Social e informes financieros de 140.000 usuarios. En marzo, se descubr¨ªa que hab¨ªan usado el mismo truco con Seisint, una filial de Lexis Nexis, para llevarse datos de 310.000 personas. El mismo mes, la empresa de calzado DSW notificaba que les hab¨ªan robado los n¨²meros y nombres asociados a 1,5 millones de tarjetas de cr¨¦dito.

En cuanto al robo de ordenadores, la semana pasada desaparec¨ªa un port¨¢til de MCI con informaci¨®n personal de 16.500 empleados. En abril, robaban dos m¨¢quinas del San Jos¨¦ Medical Group, con informaci¨®n m¨¦dica y financiera de 185.000 pacientes. En marzo, un contratista del Gobierno, Science Applications International Corp, sufr¨ªa el robo de varios PC con detalles sobre empleados actuales y pasados, entre ellos secretarios de Defensa y directivos de la CIA.

La situaci¨®n no es nueva. Tampoco es un fen¨®meno exclusivo de Estados Unidos. Simplemente, por ley, en ese pa¨ªs se obliga a declarar el extrav¨ªo de datos sensibles.

Estados Unidos siempre ha destacado por su legislaci¨®n permisiva en protecci¨®n de datos, que empieza a cambiar para acercarse a la normativa europea, m¨¢s proteccionista. Esta laxitud ser¨ªa la explicaci¨®n del desbarajuste en sus bases de datos. Pero los expertos consultados por Ciberp@¨ªs sostienen que la situaci¨®n no es mejor en Espa?a, s¨®lo que aqu¨ª las empresas no est¨¢n obligadas a hacer p¨²blicas las fugas.

En Europa, el caso m¨¢s sonado es el del Banco Central de Rusia, al que en cuatro meses le han robado dos veces las bases de datos con las operaciones de los ¨²ltimos dos a?os. Luego se venden en el mercado negro por 3.000 rublos (85 euros). En Espa?a, el caso m¨¢s reciente ha sido el hospital de Legan¨¦s, que estos d¨ªas se somete a una auditoria inform¨¢tica, despu¨¦s de detectarse "accesos at¨ªpicos".

Para Daniel Cruz, responsable del Departamento de Planificaci¨®n de Seguridad de ESCERT / Inet Secur, "los robos de datos con informaci¨®n personal suceden tambi¨¦n en Espa?a, donde siempre ha existido un mercado de datos. Muchas veces no son robos de terceros, sino que las fugas provienen de la propia organizaci¨®n, por errores voluntarios o no".

El motivo de estos robos, cada vez m¨¢s frecuentes seg¨²n Cruz, suele ser "obtener datos de los clientes de la competencia". Albert Gab¨¢s, gerente de Astabis Data Management y miembro del Chaos Computer Club, explica: "Las bases de datos espa?olas no son m¨¢s seguras que las americanas. Aqu¨ª siempre se ha pagado a crackers para obtenerlas: en su d¨ªa daban bastantes millones por la base de datos de una importante operadora de m¨®viles".

El peligro de las webs porno

Gab¨¢s recuerda que "casi toda intrusi¨®n en un sistema lleva asociado el acceso a la base de datos de usuarios y contrase?as. Las webs de sexo son uno de los principales objetivos, porque tienen suculentas listas de tarjetas de cr¨¦dito y poca seguridad".

Mariano Jos¨¦ Benito, director del Departamento de Seguridad de SGI Soluciones Globales Internet, explica: "Al no ser denunciados, no hay estad¨ªsticas fiables de estos robos en Espa?a, pero la sensaci¨®n general es que hay incidentes de este tipo con cierta frecuencia y que han ocurrido en buen n¨²mero de compa?¨ªas de todos los sectores, desde grandes empresas hasta las pymes".

Benito agrega: "El origen son spammers, la competencia e incluso mafias, muy a menudo transnacionales. Se conocen casos de intentos de estafa basados en datos financieros de un fichero robado".

La Ley Org¨¢nica de Protecci¨®n de Datos (LOPD) espa?ola es considerada una de las m¨¢s estrictas del mundo. "Hemos investigado p¨¦rdidas de bases de datos durante un transporte, su aparici¨®n en la v¨ªa p¨²blica, robos de un ex socio o empleado, en entidades financieras, hospitales, empresas y administraciones", relata Jes¨²s Rub¨ª, adjunto al director de la Agencia de Protecci¨®n de Datos. Las multas son ejemplares: entre 60.000 y 300.000 euros, por no tener medidas de protecci¨®n, y entre 300.000 y 600.000 euros por p¨¦rdida de datos de nivel alto, como la informaci¨®n m¨¦dica.

Rub¨ª agrega: "Hay un conocimiento creciente de la normativa. Las grandes corporaciones, que tienen las bases de datos m¨¢s grandes y complejas, ya cuentan con pol¨ªticas al respecto". El problema, dice, son las pymes y los peque?os y medianos ayuntamientos.

"En la mayor¨ªa de pymes no desconf¨ªan de sus empleados ni de los inform¨¢ticos externos, muchas veces sin contrato ni cl¨¢usulas de confidencialidad", dice Albert Gab¨¢s. "Permiten que todos puedan acceder a todo y no hay ning¨²n control. Pocas cumplen la ley".

"El cumplimiento de la LOPD es escaso", afirma Cruz. "El porcentaje de organizaciones que tienen inscritos sus ficheros en la Agencia de Protecci¨®n de Datos no supera el 10% y la inscripci¨®n es la fase m¨¢s sencilla". El portavoz de la agencia afirma que hay registrados 600.000 bases de datos de empresas, pero no puede cuantificar el porcentaje que supone, aunque s¨ª lo califica de "bajo". "En cuanto al Reglamento de Medidas de Seguridad", sigue Cruz, "su implantaci¨®n tampoco es alta porque, en el caso de ficheros de nivel alto, el proceso es complicado y costoso para las peque?as empresas".

Datos sensibles

Benito a?ade: "Los hospitales, compa?¨ªas de seguros m¨¦dicos, sindicatos, partidos pol¨ªticos, agrupaciones religiosas, tienen en su poder datos del nivel m¨¢s alto, que requieren medidas de protecci¨®n muy estrictas y caras. La tentaci¨®n est¨¢ ah¨ª. En el sector de la sanidad no tengo constancia de incumplimiento. En el caso de las pymes suele deberse a desconocimiento".

El problema, contin¨²a explicando Benito, no es que la normativa sea complicada, sino que "la complicaci¨®n est¨¢ en la propia organizaci¨®n: en muchos casos no queda claro qui¨¦n se encarga de qu¨¦, en otros las tareas se interfieren entre s¨ª". De todos modos, dice que la tendencia es positiva.

Otro caballo de batalla es la cesi¨®n de datos entre empresas, donde en algunos casos se intenta abusar, explica: "La cesi¨®n sucesiva de datos entre organizaciones hacen que un ciudadano no pueda saber c¨®mo una entidad desconocida para ¨¦l tiene sus datos. Adem¨¢s, hay peque?as empresas que dan a sus clientes la falsa confianza de cumplir la ley cuando s¨®lo lo hacen legalmente, pero no desde el control tecnol¨®gico".

Cruz critica que la normativa vigente no garantiza la confidencialidad de las bases de datos: "Es fundamental el cifrado de toda la informaci¨®n, en cualquiera de las etapas del ciclo, desde su entrada, pasando por el almacenamiento y transporte". El reglamento actual s¨®lo exige cifrado en el transporte de informaci¨®n de nivel alto.

El Computer Security Institute realiz¨® el a?o pasado una encuesta entre 276 compa?¨ªas de Estados Unidos para saber por qu¨¦ no denunciaban los robos en sus bases de datos: el 51% no lo hac¨ªa para no crearse mala publicidad; el 35% por miedo a que la competencia se aprovechara del incidente; el 20% porque un remedio interno les parece la mejor opci¨®n, y el 18% por desconocimento del inter¨¦s de las fuerzas de la ley en estos casos.