Riesgos a la privacidad y la seguridad en la era

del ciberespacio

Dra. Sigrid ArztCEO-Fundadora

El mundo ha ido cambiando vertiginosamente y cada vez enfrentamos nuevas herramientas tecnológicas que si bien hacen inestimable las ventajas de acceso e intercambio de información, también implican un creciente reto para la protección de los datos personales en el mundo virtual de la Internet.

Hoy día, los datos personales que circulan por la red no solo constituyen elementos de identificación, sino que también son materia prima del comercio electrónico y para las organizaciones gubernamentales. La OECD ha declarado que los DP son el oro del siglo XXI. Con las nuevas tecnologías y su conexión a los dispositivos las personas producen datos de sí mismos constantemente que van desde los biométricos, secuencias de video digital, la información de la dirección de protocolo IP; los datos de geolocalización, entre otros. Q1 2012 se publican 300 millones de fotos diariamente en Facebook.

En la medida que se recopilan y se consolidan todo este tráfico de datos, se traducen en perfiles personales y con ello determinar patrones o conocimiento sobre el comportamiento de la persona.

Seguridad-Privacidad

El día de ayer Reforma publico que una empresa llamada Control Risk señalaba que México ocupa el lugar 10 en un ranking de 20 países, de ser un país altamente expuesto a ataques cibernéticos. EUA es el país más expuesto y Grecia el menos.

En el 2014 Risk Based Security presentó su informe indicando las tendencias sobre la perdida de información personal que se están observando:+ de 3 mil incidentes de seguridad que expusieron + 1.1 billones de records. El hackeo de tan solo 4 incidentes de seguridad expuso 647 millones de records con información personal. El sector más afectado fue el financiero con 52%; seguido del gobierno con 15%; salud con 9.6% y educación con 8.8% (s/ identificar 13%)

Instituto Federal de Acceso a la Información PúblicaSeguridad-Privacidad

EUA los casos más recientes panorama2015 ANTHEM (2nda aseguradora) perdió +70 mill records2014 HOMEDEPOT perdió 56 mill datos tarjetas de crédito2013 TARGET perdió 110 millones datos en tarjetas de crédito2016 LIVING SOCIAL perdió + 50 millones

STAPLES perdió + 35 millones en TC clientes

¿Qué tienen en común? Todas las empresas fueron victimas de CIBERATAQUES y todas se vieron obligadas a notificar a sus clientes de las perdidas de información personal, lo que les resto credibilidad y confianza con sus clientes.

México

01/2015 «En Saltillo, Coahuila HSBC bloquea unas 200 cuentas por de hackeo». Clientes comenzaron a reportar cobros indebidos en el extranjero cuando no habían salido del país. Se desconoce si hubo mayores acciones.

12/2014 «Hackean a Liverpool»La empresa informó que "criminales lograron una intrusión en correos del personal y también obtuvieron información de clientes». Se estima que la empresa podría enfrentar pérdidas hasta por 107 millones de pesos, entre el resarcimiento del daño a sus clientes y eventuales multas impuestas por las autoridades. Los cibercriminales accedieron a información de cuentas bancarias, direcciones y datos personales de clientes, los cuales se publicaron en el blog y en perfiles sociales del grupo de hackers SicKillers.

Liverpool se encuentra bajo una investigación de oficio que inicio el IFAI.

Internet en México

Escenario de vulnerabilidad en la que se encuentran teniendo 52 millones de usuarios de internet, quienes a través de una conexión utilizan el 59% laptops; 57% PC; 49% smartphones; 20% tablet y 12% TV. Cada uno de estos dispositivos ya almacena datos personales y en ocasiones incluso DP de naturaleza sensible (patrimoniales/salud).

Además, los internautas: 87% envía y recibe correos; 84% busca información; 9 de cada 10 están en redes sociales, 90% en Facebook; 60% en You Tube; 56% en Twitter; 37% Google y 25% en Hi5.

5 de cada 10 usuarios se conecta a internet con una exposición promedio de 5 horas 30 minutos al día.

Mejor aun se reporta un crecimiento imparable de smartphones reportándose 52.6 millones de dispositivos.

En este contexto: ¿cómo protegemos los datos personales?

Robo celular

Aunque no se conoce una cifra exacta del número de celulares que se roban en México, lo que si sabemos es en el 45% de los robos o asaltos se sustrae el celular y cada 3.22 segundos se comete a nivel nacional un robo, es indispensable que protejamos nuestra información personal depositada en los dispositivos móviles que portamos, para ello es importante educarnos sobre el uso del dispositivo y las reglas para proteger nuestra información.

En el 11/2014 se lanzó una campaña para contar con nuestro IMEI –huella digital- y desactivar el celular robado. ¿Cuántos de ustedes obtuvieron su huella digital? Falta conciencia de lo depositado en nuestros dispositivos móviles.

Cifras indican que los robos suman pérdidas de hasta 6 mil mill de pesos en 2013.

Robo celular

Aunque no se conoce una cifra exacta del número de celulares que se roban en México, lo que si sabemos es en el 45% de los robos o asaltos se sustrae el celular y cada 3.22 segundos se comete a nivel nacional un robo, es indispensable que protejamos nuestra información personal depositada en los dispositivos móviles que portamos.

En el 11/2014 se lanzó una campaña para contar con nuestro IMEI –huella digital- y desactivar el celular robado. Sin embargo, eso no garantiza que en tanto lo hacemos no se tenga acceso a los DP.

Cifras indican que los robos suman pérdidas de hasta 6 mil mill de pesos en 2013.

Seguridad-Privacidad

En febrero de este año, Jefe de la Policía Científica de la Policía Federal en México detalló que en el 2014 se registraron 644 mil ataques cibernéticos vs los 69 mil que se registraron a usuarios de smarthphones y tablets en el 2013. El principal daño es el robo de identidad.

En ese sentido, es importante subrayar que no es sólo responsabilidad de los encargados de las tecnologías de la información armar una arquitectura de seguridad de la información sólida, sino que todos debemos desarrollar una cultura de protección de datos personales..

AT&T México

AT&T acaba de recibir una multa de 25 millones de dólares en los EUA impuesta por Comisión Federal de Comunicaciones de Estados Unidos (FCC) equivalente a IFTEL.

Tres empleados utilizaron su acceso para traficar con terceros los datos de por lo menos de 68,701 clientes de AT&T. Los documentos contenían números completos o parciales de la seguridad social y el acceso ilegal a la información de cuentas de los clientes de AT&T. Lo anterior tuvo lugar en un call-center en Monterrey, Nvo. León de nombre: Teleperformance en México.

La brecha de información personal resultó en una afectación directa al menos a más de 51,000 clientes usada para realizar 290,803 solicitudes para desbloquear dispositivos desde el portal de desbloqueo de AT&T robando y explotando DP.

Durante cinco meses empleados de un call center en México de AT&T reconocieron vender información personal a quien identificaron como «El Pelón».

Las empresas de call centers también están obligadas a observar la LFPDPP aun y cuando la empresa es extranjera y daba tratamiento de DP al parecer solo c/ datos personales de estadounidenses. INAI declaro estar realizando una investigación de oficio.

10

Lecciones

¿Qué tienen en común Liverpool, HSBC y AT&T?

1. No hay una conocimiento y capacitación en el tema de protección de datos y seguridad informática.

2. Los usuarios/clientes somos los más vulnerables porque las empresas no han tomado en serio el robo de identidad y por consiguiente, la protección de los datos personales.

3.La falta de cultura ha colocado a los titulares de los datos en una situación de elevado riesgo y las instituciones son sumamente lentas a la velocidad del daño que se causa. 11

México

¿Qué tenemos en materia de datos personales?

12

Protección de datos personales en México

06/2009: Reforma al Artículo 16º constitucional, el derecho a la protección de datos personales y señala:

“Artículo 16. …

Toda persona tiene derecho a la protección de sus datos personales, al

acceso, rectificación y cancelación de los mismos, así como a manifestar

su oposición1, en los términos que fije la ley, la cual establecerá los

supuestos de excepción a los principios que rijan el tratamiento de datos,

por razones de seguridad nacional, disposiciones de orden público,

seguridad y salud públicas o para proteger los derechos de terceros”.

DERECHO HUMANO de 3era generación

1 Conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición). 13

¿En qué consiste el derecho a la protección de datos personales?

14

Es un derecho fundamental de tercera generación que busca la protección de la persona con relación al tratamiento de su información.

Es el poder de disposición y control que faculta a la persona a decidir cuáles de sus datos proporciona a un tercero (empleador o empresa que le preste un servicio), así como el saber quién posee esos datos y para qué, pudiendo oponerse a esa posesión o uso (derecho a la autodeterminación informativa).

¿Qué son los datos personales?

Cualquier información concerniente a una persona física identificada o identificable.(Art. 3, fracción II LFTAIPG y art. 3, fracción V de la LFPDPPP)

15

Datos de Identificación

NombreDomicilio particular

RFCCURP

NacionalidadLugar de residenciaTeléfono particular

16

Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. (Art. 3, fracción VI de la LFPDPPP)

Origen racial o étnicoEstado de salud

(pasado, presente o futura)

Información genéticaCreencias religiosas, filosóficas o morales

Afiliación sindicalOpiniones políticasPreferencia sexual.

Datos Personales Sensibles

Principios en el tratamiento de DP

17

Tratamiento

Licitud y Lealtad

Finalidad

Proporcionalidad

CalidadInformación

Consentimiento

Responsabilidad

En la esfera privada, el Aviso de Privacidad es el documento que establece el tratamiento de los datos personales recabados.

AVISO DE PRIVACIDADLos datos financieros/patrimoniales deben contar con un consentimiento expreso, y en el caso de los DP sensibles el responsable debe obtener consentimiento expreso y por escrito del titular.

Lo que significa que cuando les recaban datos de salud, preferencias sexuales, ideologías, grupo étnico o grupo racial, debieron obtener el consentimiento expreso y por escrito. ( No sucede)

Mejor aún, cuantos de ustedes hacen uso de servicios públicos locales o federales? ¿Cuántos de ustedes saben que se hacen con sus datos de salud presente/pasados? Han leído o exigido conocer el aviso que debe presentar la autoridad pública en el momento de recabar datos personales. La respuesta es siempre un sonoro NOOOO.

18

Es proporcional capturar la fotografía y las diez huellas dactilares para que a cambio se obtenga una televisión digital. ¿Cuál es la finalidad de SCT para capturar esos biométricos –datos personales sensibles- a la entrega de un televisor.

Sobretodo si SEDESOL había ya transferido la base de datos de los beneficiarios de Oportunidades donde esta dependencia captura el Iris+huellas+fotografía. ¿No resulta excesivo? R: sí.

Medidas de Seguridad

La LFPDPP establece que quien haga un tratamiento de datos personales debe mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los DP. Para tales efectos, debe tomar en cuenta lo siguiente:

• El riesgo inherente por tipo de dato; • Las posibles consecuencias de una vulneración para los titulares; • La sensibilidad de los datos, y • El desarrollo tecnológico.

Asimismo, el responsable debe procurar evaluar el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los DP. Sin embargo, la Ley no obliga a que en caso de que el responsable sufra una pérdida sustracción o fuga de información este obligado notificar a la autoridad. Mejor aun, deja a juicio del responsable decidir si le notifica de la brecha de información al titular de los datos si este puede sufrir un daño moral o patrimonial. CERO información. 20

e-SaludEstudios de la OECD subrayan que un inadecuado manejo de la privacidad en la atención a la salud conlleva fundamentalmente tres riesgos de alto impacto para el paciente:

1) Estigmatización.2) Exclusión social—discriminación.3) Prohibición de acceso a servicios de salud.

Por ello, se vuelve indispensable ir más allá de la relación de confidencialidad médico-paciente y comenzar a formar nuevas generaciones en un claro entendimiento de la protección de la privacidad en el manejo de las tecnologías de la información.

Casos documentados en EU y Europa que la revelación de un expediente médico y la condición de salud puede ha obstaculizado la contratación de hipotecas o ha terminado en la pérdida del empleo. Los órganos garantes de protección de datos han investigado estas situaciones y aplicado sanciones considerables.

VA Corporate Data Center Operations/Austin Information Technology Center

TX Proveedor salud 7 029 01/07/2015 Hackeo/IT

IncidenteServidor de red comprometido

Aspire Indiana, Inc. IN Proveedor

salud 43 890 01/07/2015 Robo Laptop

Children's Eyewear Sight CA Proveedor

salud 1 030 01/12/2015 Robo Computadora

Tennessee Rural Health Improvement Association

TN Aseguradora 79 000 01/13/2015 Acceso no autorizado Servidor red comprometido

Boston Baskin Cancer Foundation

TN Proveedor salud 56 694 02/02/2015 Robo Dispositivo portable

Georgia Department of Community Health

GA Aseguradora 557 779 03/02/2015 Hackeo/IT Incidente Servidor

UCLA Health SystemLos Angeles, California

Centro médico 4.5 millones 17/07/2015 Hakeo/IT

incidente

HIPPA + HITECH

Peligros

Con los profesionales de la salud se agregan los desafíos del uso de «Bring your own device» (BYOD).

BYOD permite que el portador tome una fotografía, grabe un video, transfiera datos vía bluetooth, whatapp, facetime, o la más reciente APP: telescope

En numerosos centros hospitalarios ya se han emitido políticas con respecto al uso y administración de BYOD. Las políticas impulsadas en su mayoría han sido reactivas pero comienza haber una autoregulación en las organizaciones.

Canadá

La Asociación Médica de Protección en Canadá realizó un estudio 2012 demostrando que los canadienses no darían su información personal completa en materia de salud si no tenían una expectativa razonable de protección a la privacidad. 90% tiene la expectativa que sea demostrable que existe un monitoreo sobre ECE.

Para los pacientes encuestados es importante que el médico les informe que tipo de tecnología esta utilizando para darle tratamiento a sus DP.

Retos salud & tic´s

OMS + OECD han señalado que uno de los principales retos hacia futuro en materia de salud será la protección de la información personal, (entre ella la genética) y su relación con el uso intensivo de tecnologías. Hoy existen tecnologías para almacenar:

Cordón umbilical Diente/muela Código genético

Pero también esta toda la información que se transmite de manera transfronteriza a la luz del turismo médico; la información personal que se transmite entre médicos especialistas, la información personal que se almacena en bases de datos y se le da un tratamiento. Recomendable: avanzar cultura PDS+seguridad informática.

I. Promover una cultura de protección de datos personales es indispensable.

Sector público:• SCT recaba las huellas dactilares y el iris y no cumplen con los principios de

privacidad.

• SEGOB tiene el iris y las huellas de al menos 6 millones de menores y la cedula de identidad a quedado trunca. Peligro real de la sustracción y mal uso de los datos de los menores y no pasa nada.

• SEDESOL captura huellas, iris, fotografía y datos patrimoniales para estar inscrito en el Programa Oportunidades.

Sector privado:• Capturan biométricos para accesos controlados.• Consultas médicas privadas, servicios privados de salud no recaban el consentimiento

expreso y por escrito.

Desafíos

2. Contar con una legislación simétrica tanto para el sector entre el sector privado y público, acorde a las exigencias que se han impuesto sobre el sector privado. Si los privados van a la cárcel también debe ser equiparable para los funcionarios públicos por violaciones a la protección de datos personales.

3. Contar con la obligación legal de notificar al titular y a la autoridad sobre una brecha de información personal. La función de esa notificación es revisar si el ente regulador sanciona a l responsable. (EUA cuenta con regulación sector salud página web tiempo real)

4. Contar con una Manifestación de Impacto a la Privacidad para demostrar que la tecnología que se esta utilizando para el tratamiento de datos personales es la menos invasiva y es eficiente para beneficio del titular.

5. Mayor educación en un binomio de seguridad y privacidad ante la interconectividad que como individuos vivimos a través de los dispositivos móviles inteligentes los 365 días.

Desafíos . . .

Gracias por su atención

(PRIVA) DATA, s.c.www.priva-data.com

Dra. Sigrid Arzt Colunga

Tel. 56838841