La información confidencial pone en alerta a los sistemas TI

El extravío de dos CD con los datos de casi la mitad de la población inglesa en el correo interno entre departamentos gubernamentales ha provocado en Reino Unido dimisiones y pérdidas de confianza en la Administración Pública, así como alarma social por el tratamiento que se podría dar a la información contenida en los discos. ¿Qué consecuencias tiene un suceso así?, ¿qué políticas y normas salvaguardan los datos en España? Y sobre todo… ¿cómo se puede prevenir esta brecha de seguridad? 

Hace poco más de un mes, el Reino Unido se vio sobresaltado por la pérdida de dos discos compactos con información confidencial de 25 millones de personas: datos bancarios y de la seguridad social sobre 7,5 millones de familias que habían solicitado becas para sus hijos. El suceso se produjo durante el intercambio de los discos entre la Oficina Nacional de Auditoría y el Departamento de Hacienda y Aduanas por falta de rigor en el proceso de seguridad, del que se acusó a la compañía de transportes responsable del correo interno entre departamentos.

Ante la alarma social que se generó, el ministro de Economía británico tranquilizó a los ciudadanos asegurando que la información contenida en los discos estaba protegida con contraseñas y que no había caído en manos de delincuentes. Asimismo, recomendó a los afectados controlar sus cuentas bancarias ante cualquier “actividad inusual”, frente a la que garantizó estarían protegidos por el código bancario de Reino Unido. Pese a todo, “el miedo de las personas afectadas de que sus números de cuenta fueran puestos al descubierto ha llevado en el Reino Unido a muchos de ellos a cancelar sus cuentas actuales para evitar un uso fraudulento de las mismas. Cada una de esas operaciones de cancelación y nueva apertura tiene un coste económico concreto”, apunta Luis Fuertes, Enterprise Marketing Manager para España y Portugal de Symantec.
A nivel político, la noticia desencadenó la renuncia del responsable de Hacienda y Aduanas y ha puesto en riesgo el proyecto del Gobierno británico de implantar a nivel nacional un documento de identidad. “Además de la intranquilidad de los usuarios, esta circunstancia ha propiciado un descrédito y una falta de confianza en los gobernantes y en las administraciones públicas, que son los que deben encargarse de nuestra seguridad a todos los niveles”, apostilla Emilio Castellote, director de marketing de producto de Panda Security.

Riesgos para el ciudadano
Y es que la noticia de Reino Unido saca a relucir no sólo los fallos en el manejo de la información confidencial que gobiernos y empresas tienen en su haber, sino también sus posibles consecuencias. Además de las pérdidas económicas antes mencionadas, el usuario podría verse implicado en un proceso de suplantación y robo de identidad personal. “Aunque los datos que contenían los CD (el número de cuenta bancaria, documentos de identidad, domicilio, seguridad social, etc.) pueden no ser suficientes para cometer impunemente un delito, sí pueden resultar tremendamente jugosos para intentar suplantar la personalidad de estas personas a través, por ejemplo, de la banca telefónica o, más aún, para el temido phishing, ya que los estafadores pueden ponerse en contacto con miles de personas haciéndose pasar por empleados de su banco y al conocer tantos datos personales, es mucho más fácil encontrar incautos que caigan en la trampa”, advierte José Ángel de las Heras, especialista en IdM (Gestión de identidades) de BMC Software. En este sentido, Manuel Arrevola, director general comercial de Zitralia, incide en que “se podrían utilizar las identidades para suplantar a autores de fraudes o robos. Y lo que es más grave, con los datos personales se podría acceder a servicios, subvenciones o a información privada de la víctima (de tipo laboral, jurídica, financiera, etc.). Además, también podrían ser víctimas de fraude bancario al disponer el delincuente de números de cuenta, tarjetas de crédito e información personal que pueda ayudar a conseguir claves de acceso vía Internet”. Un reciente estudio de la compañía de asistencia CPP afirma que el robo de identidad supone el 44% del total de las estafas y que la cantidad económica media robada a cada víctima asciende a 6.000 euros. España es el tercer país con mayor número de fraudes online.

Otro de los temores generados es la venta de los datos en el mercado negro. Si bien no hay cifras oficiales, se baraja que los CD británicos podrían cotizarse por 140 millones de euros. Recientemente, en Estados Unidos un administrador de bases de datos admitió haber vendido los registros de 8,5 millones de clientes por 580.000 dólares. También en Reino Unido, un timador ofrecía en la Red 30.000 números de tarjetas de crédito por menos de 1,5 euros cada uno. Datos del ISTR (Internet Security Threat Report) de Symantec revelan que las tarjetas de crédito son los artículos más anunciados (22%) en Internet, seguidos por las cuentas bancarias (21%), cuyo precio es similar al de las contraseñas de correo electrónico.  

Con la lente equivocada
España no está exenta de sufrir brechas como la acontecida en Reino Unido, si bien ninguno de los dos países está obligado a hacer públicos este tipo de fallos de seguridad, a diferencia de lo que ocurre Estados Unidos. No obstante, en Secuware son de la opinión de que en nuestro país sería difícil que sucediera un “despiste” similar. “En España es imposible que suceda algo parecido porque los pocos sitios donde tienen una información tan grande, como la Policía o la Agencia Tributaria, están completamente aislados”, explica Carlos Jiménez, presidente de la firma española. (Vea entrevista en vídeo aquí). “En el caso de la Policía, los ordenadores no están conectados. Tienen un ordenador central y no es necesario transportar esa información bajo ningún concepto. En la Agencia Tributaria utilizan nuestro sistema de cifrado que hace que cualquier información que sale de su red esté siempre codificada. Aunque