La Red en Defensa de los Derechos Digitales (R3D) informó que la base de datos de los bancos Santander y BBVA, así como del Instituto Mexicano del Seguro Social, fueron puestas a la venta el 22 de enero en un foro de Internet.
Las filtraciones fueron denunciadas en un primer principio por dos cuentas de Twitter de expertos en seguridad informática.
Datos personales comprometidos en filtración
Datos personales como el nombre completo de la persona, dirección, número telefónico y RFC fueron comprometidos por BBVA. En el caso de la base de datos de Santander, además de la información anterior se incluye el número de cuenta de cada persona.
Por su parte, la base de datos del IMSS incluye datos como nombre y domicilio del empleador, así como nombre, número de afiliación, CURP y salario base del trabajador.
La base de datos de BBVA puesta a la venta contiene un millón de registros, la de Santander contiene tres millones, mientras que la del IMSS compromete 42 millones de registros.
Además de estas instituciones, otra bases de datos de compañías e instituciones mexicanas han sido puestas a la venta en la darkweb. Según la información de R3D, otro vendedor ofertó el 25 de enero la base de datos de compañías como Coppel, Banamex y Movistar, así como de organismos como la Comisión Federal de Electricidad, el Instituto Nacional Electoral, el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, y el Instituto del Fondo Nacional de la Vivienda para los Trabajadores, entre otros.
Venta de datos personales en la darkweb
En Twitter, el director y fundador de la firma de seguridad Seekurity Hiram Camarillo y el grupo Bank Security denunciaron las filtraciones y describieron sus contenidos.
En el caso de Bank Security, el equipo logró ponerse en contacto con el vendedor quien “tiene buena reputación en foros de dark web y por eso puede ser cierto que la base de datos es real”.
Mal manejo de bases de datos de las compañías mexicana
La organización R3D expresó su preocupación por la poca seguridad que tienen las compañías en México en el manejo de sus bases de datos. Para la organización, los incidentes “son un recordatorio del deber que tienen empresas y sujetos obligados en el resguardo, tratamiento y transferencia de datos personales”.
Estas filtraciones dejan un mal precedente y alertan sobre los riesgos de crear bases de datos centralizadas como el que se planea hacer para el Padrón Nacional de Usuarios de Telefonía Móvil, cuando no hay las garantías de seguridad debidas.
R3D también hizo hincapié que las empresas tienen el deber de notificar a los usuarios cuando han sido afectados por una filtración. Sin embargo, ni BBVA ni Santander habían hasta el momento emitido ningún pronunciamiento sobre la revelación de estas bases de datos.
Para R3D, los problemas de seguridad revelados indican que las compañías deben frenar sus esfuerzos de recabar y almacenar información biométrica, ya que su filtración puede tener peores efectos en los usuarios.