Los empleados utilizaron su acceso para traficar con terceros los datos de por lo menos de 68,701 clientes de AT&T. Los documentos contenían números completos o parciales de la Seguridad Social y el acceso ilegal a la información de cuentas.
La vulneración perpetuada en México, que comprendió del 4 de noviembre del 2013 hasta el 21 de abril del 2014, fue informada a las autoridades estadounidenses el 4 de abril del 2015. Esto propició una investigación de la Comisión Federal de Comunicaciones de Estados Unidos (FCC) y de AT&T. Esta investigación se extendió a contratistas de Colombia y Filipinas que reveló una violación a la privacidad de casi 280,000 clientes de AT&T.
“Esta brecha resultó en que la información personal de 51,422 clientes de AT&T fuera usada para realizar 290,803 solicitudes para desbloquear dispositivos desde el portal de desbloqueo de AT&T”, dice el decreto de consentimiento emitido este miércols por la Oficina de Cumplimiento de la FCC entregado a AT&T que da fin a las investigaciones.
La FCC informó sobre la imposición de una multa de 25 millones de dólares por fallar en la protección de los datos personales de los usuarios así como en la divulgación oportuna de vulneraciones.
En un correo electrónico enviado a El Economista, la directora de Comunicaciones Corporativas de AT&T, Emily Edmonds, dijo que la compañía no podía revelar el nombre de los contratistas involucrados en el robo de datos personales de la operadora.
En noviembre del 2014, AT&T adquirió las operaciones de Iusacell, el tercer proveedor de servicios de comunicación móvil de México. Tres meses más tarde, en enero del 2015, anunció la compra de Nextel, el cuarto operador de México, después de Telcel de América Móvil y Movistar de Telefónica.
La gravedad del robo
Las consecuencias del robo documentado por la FCC van desde la violación del derecho a la privacidad o incluso suplantación de identidad —la investigación arrojó que entre los datos robados están números de seguridad social— hasta el robo y fomento al mercado negro de teléfonos móviles. Tan sólo en México se registraron en el 2014 unas 440,000 denuncias de robo a móviles, de acuerdo con la asociación de operadores móviles GSMA.
“Esto favorece el robo de (teléfonos) celulares y permite que el teléfono, una vez robado, pueda ser desvinculado de una empresa como AT&T y ser cambiado a otro proveedor. Favorece de manera indirecta el robo de celulares”, dijo Cédric Laurant, experto en protección de datos personales en México.
La FCC dio a conocer que al menos dos empleados que presuntamente estaban involucrados en el acceso no autorizado a la información de los clientes, confesaron que vendieron la información robada a un tercero, conocido como “El Pelón”, que sería una persona o grupo dedicado al tráfico de información.
AT&T anunció el año pasado la compra de la operadora móvil Iusacell y a inicios de este año a Nextel México, con lo que marcará su entrada al mercado nacional de telecomunicaciones.
AT&T dejó pasar advertencias
Si bien AT&T, que dirige Randall Stephenson, informó a las autoridades en abril del 2014, lo cierto es que la compañía dejó pasar dos incidentes similares en el 2012 y el 2013 también perpetuados en México.
En diciembre del 2012, un empleado del call center contratado por AT&T en México fue sospechoso de proveer información a personas no autorizadas. El empleado fue despedido.
Otro incidente ocurrió en enero del 2013, cuando AT&T descubrió que otro empleado en el call center pudo estar relacionado con el acceso y mal uso de información de los clientes. El empleado salió de la compañía por voluntad propia antes de que se concluyeran las investigaciones.
“AT&T no reveló los incidentes del 2012 y del 2013 en el tiempo que ocurrieron porque (las investigaciones) de AT&T no concluyeron que las brechas de seguridad incluían el uso o divulgación de información propiedad de los consumidores. Después de la brecha de abril del 2014, AT&T reexaminó estos incidentes y los reportó en septiembre del 2014”, documentó la FCC en su decreto.
La multa de 25 millones de dólares a AT&T es la más alta que las autoridades estadounidenses hayan girado por un tema de protección de datos personales. La compañía también deberá notificar a los usuarios que vieron vulnerada su información personal.
“Si el contratista se había enterado de una vulneración de datos, que fue el caso de abril del 2014, tenía que notificar si la brecha era importante y tenía que ver con información patrimonial. Como es un encargado de la información de los usuarios de servicios de telecomunicaciones, tenía que notificarlo a AT&T. Lo que tuvo que hacer AT&T es notificar a los usuarios de Estados Unidos”, explicó Laurant.
En un posicionamiento oficial enviado a El Economista, AT&T dijo: “Desafortunadamente, algunos de nuestros contratistas no cumplieron con los estándares (de protección de la privacidad de los clientes) y estamos terminando relación con vendedores según sea apropiado. Hemos cambado nuestras políticas y fortalecido nuestras operaciones. Y hemos o estamos contactando con nuestros clientes afectados para proveerles de mayor información”.
¿Qué cambia?
Además de la multa, la FCC ordenó a AT&T el mejorar sus prácticas de privacidad y seguridad de datos mediante el nombramiento de un administrador de cumplimiento superior, certificado profesionalmente en privacidad, para que realice una evaluación de riesgos de privacidad; también ordenó la implementación de un programa de seguridad de la información, la creación de un manual de cumplimiento adecuado y una formación regular de los empleados en políticas de privacidad de la empresa y las autoridades legales de privacidad aplicables.
AT&T va a presentar informes periódicos sobre el cumplimiento de las disposiciones a la FCC.
Emily Edmonds, de AT&T, negó en un correo electrónico que esta brecha así como los requerimientos de la FCC vayan a cambiar las operaciones que tiene la compañía en México.
Aunque Cédric Laurant consideró que: «AT&T va a tener que tomar varias medidas de seguridad para corregir la manera en que daba la autorización a encargados de acceso a la información de los suscriptores de telecomunicaciones, y esas medidas seguramente va a imponerlas a todos los encargados del mundo y seguramente la FCC va a revisarlo».
La lección para México
Si bien las autoridades mexicanas, específicamente el Instituto Federal de Acceso a la Información y Protección de datos personales (IFAI), sólo tendrían injerencia si algún usuario mexicano se hubiera visto afectado, existen lecciones que podrían extraerse. Una de ellas es la mayor transparencia en el manejo de la información.
“Para los usuarios y las empresas hay una interacción que pide respetar datos personales, pero a su vez el reconocimiento de que la tecnología puede servir para procurar justicia y prevenir delitos. En este caso es importante que exista transparencia de si los datos fueron accesados y bajo qué fundamento legal y por qué institución. La transparencia de esta relación es quizás uno de los componentes más importantes”, consideró Jesús Romo, analista de la firma de análisis Telconomía.
Por parte del IFAI, se debería realizara una investigación exhaustiva sobre los call center que proveen servicios a estas empresas pero al no revelarse en cuál contratista ocurrió la brecha de seguridad, tendrían que emitirse lineamientos y recomendaciones para este tipo de proveedores, consideró Laurant.
«Como lección de este caso, debería emitir recomendaciones para call centers, que tienen que cumplir con reglas de seguridad del reglamento mexicano y requiriendo que se tomen medidas más fuertes de protección de datos», dijo el especialista.
Lo cierto es que si este tipo de vulneraciones ocurren en México, pasan prácticamente desapercibidas por parte de las autoridades. Un claro ejemplo es el hackeo que sufrió Liverpool en diciembre del año pasado.
«El caso de Liverpool, la empresa notificó al público la vulneración pero no lo hizo para cumplir con la Ley de Protección de Datos sino para cumplir una regulación de la Bolsa Mexicana de Valores (BMV). Habría que preguntarle al IFAI qué está pasando con el caso de Liverpool, porque tendría que haber actuado en este caso. Lo único que sabemos es que dos o tres semanas de la vulneración, en la página de Facebook (del IFAI) publicó una nota de tres líneas que decía que iba a investigar el caso», criticó.
El Economista reportó en 2013 un caso similar donde una vulneración a la seguridad de Prodigy, un servicio de correo electrónico de Telmex, expuso los correos electrónicos de al menos 2,500 cuentas.
Datos como dirección postal, números de tarjetas de crédito, acceso a servicios como iTunes, MercadoLibre, Facebook y Twitter, contactos estuvieron accesibles a través del motor de búsqueda de Google y al alcance de todo el mundo.
En ese entonces, el IFAI no respondió a dicha vulneración dado que no recibió ninguna queja o denuncia por parte de los usuarios.
«En México, la Ley no obliga a la industria no tiene que reportar las vulneraciones al IFAI sino al cliente a los titulares. Y no hay ninguna empresa que haya cumplido después de haber una vulneración de datos que haya cumplido en notificar a los titulares», agregó Laurant.
Fuente: http://eleconomista.com.mx/tecnociencia/2015/04/09/mexico-crea-problemas-proteccion-datos-att
Fecha de consulta: 16 Abril 2015
