Recientemente se dio a conocer que hubo un robo de los datos que resguarda el Buró de Crédito, institución que ha indicado que se trata de una base de datos generada en el año 2016, aunque de cualquier forma se trata de información personal, de diversos usuarios, a la que se le puede dar un mal uso, algo que puede ser preocupante para los afectados y para las autoridades.
A finales del 2022, el Buró detectó la oferta ilegal de datos en la “deep web” y redes sociales, que coinciden con su base de datos de 2016, que, como obliga la ley, ya había sido eliminada de la base actual. Aunque no se sabe con certeza cuántos registros hay en la base robada, podría haber 20 millones de personas afectadas. Lo positivo: afirman que la base de datos actual no ha sido vulnerada.
Cabe señalar que las instituciones de información crediticia, como el Buró de Crédito, no se regulan por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) que rige el INAI, sino por la Comisión Nacional Bancaria y de Valores; pero si alguien se da cuenta de que sus datos se han vuelto públicos o están en venta, pueden denunciar ante el INAI, previa verificación de que los datos del interesado están entre los afectados, a través de la página web del Buró.
La razón de que a los datos no los protege la LFPDPPP es porque no se ha hecho la regulación debida, lo que ha dejado un “agujero legal” por el que las instituciones financieras se amparan para mantener la gestión de los datos de los usuarios bajo su criterio. Por cierto, la Auditoría Superior de la Federación ha hecho observaciones sobre controles críticos de ciberseguridad, pero no se han resuelto.
El problema es que la filtración de datos posibilita que la información de los usuarios pueda venderse o usarse para cometer ilícitos, suplantando la identidad de otra persona para solicitar créditos, por ejemplo, y heredan el problema a la persona, porque están a su nombre, y además se le afecta ante el Buró de Crédito, ya que aparece como responsable de los pagos pendientes.
Recomendaciones ante el hecho consumado
La forma de asegurar de que nuestros datos no han sido robados, es consultar una sección especial del sitio web del Buró de Crédito para saber si fuimos afectados, pero además, hay que revisar regularmente las cuentas bancarias para verificar si ha habido movimientos extraños, como compras o retiros desconocidos, aunque sean mínimos; esa es una señal de que el delincuente está actuando.
Ante cualquier escenario, el usuario de servicios financieros es el principal responsable y afectado ante situaciones como esta; vivimos en un entorno altamente digital, y no puede haber exceso de confianza. Sigue habiendo personas engañadas por llamadas que simulan ser del banco y piden información, o a través de correos con enlaces hacia páginas fraudulentas, y la gente sin saberlo entrega información importante de sus cuentas incluyendo sus NIP y password.
Hay que recordar: las instituciones bancarias no solicitan, telefónicamente, datos personales ni de las cuentas, si alguien lo hace, no es del banco. En una sucursal el cajero puede solicitar una identificación para asegurarse de que sea la persona, pero no pide ninguna clave o NIP.
Hoy en día, los delincuentes usan herramientas de inteligencia artificial para reunir información a través de Internet, más de la que podían obtener hace diez años, y la usan para el robo de identidad y cometer fraudes; la información robada al Buró fue limitada, pero si la combinan con otras fuentes, pueden conocer perfectamente a la persona a la que pretenden suplantar. Así que, a cuidarse.
*La autora es Gigi Agassini, vocera de Expo Seguridad México y consultora internacional de seguridad
