Dependencias de gobierno como el Instituto Nacional Electoral, la Secretaría de Relaciones Exteriores, el Servicio de Administración Tributaria, así como Instituciones bancarias y financieras tienen en su poder millones de datos personales y biométricos de la población, a este mar de información se sumará el nuevo Padrón Nacional de Usuarios de Telefonía Móvil a cargo del Instituto Federal de Telecomunicaciones. Al carecer de la protección y seguridad necesaria, dichas bases de datos se convierten en objetivos de gran valor para que los exploten los piratas informáticos oportunistas y se ocurra una filtración de datos biométricos.
El manejo de datos biométricos relacionados con la identidad de una persona, requiere del mayor cuidado posible. Según la Cámara Nacional de la Industria Electrónica de Telecomunicaciones y Tecnologías de la Información (Canieti), en la actualidad hay 126 millones de líneas móviles en el país, lo que significa que los operadores de telefonía móvil tendrán que recabar el nombre, dirección, nacionalidad, número de documento de identidad con fotografía y la toma de datos biométricos de esta cantidad de usuarios.
Oswaldo Palacios, Director de Ingeniería de Ventas en Guardicore para México y Latinoamérica, citó que en el caso de México, y de acuerdo con las leyes de protección de datos personales, los responsables del tratamiento de datos personales deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
En ese sentido, el directivo resaltó que con el fin de proteger al máximo la información confidencial las empresas de telefonía deben contar con las herramientas adecuadas para el resguardo de los datos de los usuarios, ya que en caso de haber alguna fuga de información pueden enfrentar consecuencias legales y acciones colectivas por parte de los usuarios. Adicional al daño en la imagen del proveedor de servicios del que se trate.
«Si no se tiene el conocimiento sobre las soluciones de ciberseguridad adecuadas, las bases de datos pueden terminar en la dark web o peor aún en sitios web abiertos», expresó Oswaldo Palacios, quien agregó que por tal motivo aconsejan tener herramientas que otorguen visibilidad de extremo a extremo y a nivel proceso para saber quién está accediendo a qué recurso.
De acuerdo con Oswaldo Palacios, entre las tecnologías de seguridad prioritarias para la protección de datos, tanto de manera interna como externa, se encuentran aquellas enfocadas en la contención de ataques de negación de servicios, seguridad a nivel perimetral, ambiente, aplicación y proceso que se estén ejecutando en los servidores. De esta manera se tendrá una completa visibilidad de cómo se comunican las aplicaciones entre ellas y con su entorno.
A fin de proteger los datos personales y biométricos de la población, el directivo recomendó a aquellas instituciones públicas como privadas que tienen bajo su poder dicha información seguir los siguientes tres consejos clave para reducir considerablemente el riesgo de filtración de los datos personales y biométricos de la población:
- 1. Buena higiene. Con demasiada frecuencia, los ciberataques comienzan aprovechando la falta de higiene. Se sugiere hacer un mejor trabajo para encontrar vulnerabilidades no parchadas en aplicaciones, y mejor administración de contraseñas y cuentas y habilitación de la autenticación de dos factores: muchos ataques provienen de simples ataques de contraseña de fuerza bruta contra aplicaciones de autenticación de un solo factor.
- 2. Mejor segmentación y microsegmentación: cuando una empresa incorpora técnicas modernas de segmentación, aunque sea con moderación, su riesgo se reduce enormemente. Es muy importante microsegmentar el ambiente y aplicaciones utilizadas, para evitar que terceros sin autorización puedan acceder a recursos no permitidos.
- 3. Planes y prácticas de respuesta a incidentes adecuados. Tener un plan estratégico de respuesta a incidentes que incorpore no solo al personal técnico, sino también a las partes comerciales y legales que deben involucrarse. Estas prácticas deben realizarse con simulacros de respuesta a incidentes planificados y ejecutados para establecer puntos ciegos o brechas en la seguridad.