En el primer trimestre de 2023, se informó que en la dark web vendieron una base de datos de más de 97 mil usuarios bancarios mexicanos, indicaron datos recopilados por la empresa IQSEC, que añadió, las bases de datos biométricos son “áreas sin protección” que requieren “mayores controles de seguridad en el manejo de información biométrica”.
A través de un comunicado fechado al 30 de mayo de 2023, IQSEC recordó que en febrero de este mismo año, de una base de datos del Buró de Crédito de 2016, que fue eliminada sin el procedimiento correcto, fue vulnerada, aun cuando quien recopile información sensible, “debe promover su efectiva gobernanza”, es decir, resguardar los datos para evitar su filtración o violación.
De acuerdo con el Chief Security Sales Enablement Officer, Manuel Moreno, “la generación de una base de datos biométricos no es nueva en el país, pues es una práctica generalizada en el sector financiero desde 2017, sin embargo, se han encontrado áreas de oportunidad para “promover mayores controles de seguridad en el manejo de información biométrica”.
De acuerdo con el experto, la principal falla en la seguridad de bases de datos es la gobernanza en la información al momento de la captación; en el manejo y resguardo, y en la eliminación de los mismos, ya que su “filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, también para el usuario mismo”.
Los riesgos para las víctimas que sean vulneradas en su información son la pérdida de la privacidad, la suplantación de identidad, fraude y otros delitos, mientras que las organizaciones públicas o privadas podrían hacerse acreedoras a sanciones legales y financieras.
Solo en 2022, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) recaudó $60,078,958 en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
Moreno agregó que “en cada recopilación de datos, las organizaciones, tanto públicas como privadas deberían adherirse a certificaciones y estándares que promuevan su compromiso con las buenas prácticas de gobierno de datos, como lo son las ISO/IEC 30107-3, 27001 y 27701”.
Finalmente, el experto de IQSEC indicó que las herramientas de gobernanza, riesgo y cumplimiento (GRC), así como de administración de identidades (IGA) podrán dar certeza razonable, que cada base de datos en manos de particulares o sujetos obligados, “estén seguros y disponibles para las personas adecuadas en el momento requerido”.