Un tuit de la cuenta Bank Security informó el 23 de enero que estaban a la venta bases de datos de las filiales de BBVA y Santander en México. Entre los datos se encuentran tres millones de registros de clientes presuntamente relacionado con BBVA y un millón de registros de clientes presuntamente relacionado a Santander.
A Threat Actor is sharing the following Databases:
– 3 Million customer records allegedly related to BBVA Bancomer México ?? (@BBVA_Mex)
– 1 Million customer records allegedly related to Banco Santander México ?? (@SantanderMx)The DBs include PII data, Phone numbers and more. pic.twitter.com/eLRXW84ZqB
— Bank Security (@Bank_Security) January 23, 2021
Entre los registros filtrados en la base de datos de BBVA se encuentran el nombre completo de la persona, dirección (calle, colonia, ciudad, estado y código postal), número telefónico y RFC. Mientras que la base de Santander, además de los datos anteriores, incluye el número de tarjeta.
Hiram Camarillo, director y fundador de la firma de ciberseguridad Seekurity, comentó a EL CEO que al analizar los datos, pudieron observar que no se trata de bases que hayan extraído directamente de los sistemas de los bancos, sino tal vez de algún proveedor.
De acuerdo con Camarillo, es probable que el proveedor tenía esa información, quizá algún despacho de donde llaman para realizar una cobranza o despachos contratados para vender un seguro o una tarjeta de crédito.
La información podría ser de un proveedor por la estructura y el formato, debido a que están en un archivo de Excel. Si fuera de los sistemas de los bancos, las bases de datos estarían en un formato SQL o el formato que tenga el sistema.
Camarillo dijo que se debe considerar que quizá no es información actual, pero eso no le quita ningún riesgo. Así haya sido información de hace 10 años, si la persona sigue viva o si murió están expuestas a un robo de identidad porque “el valor de la información nunca caduca”.
Esa es una de las desventajas cuando compartes información. No sabes a dónde va a llegar por más control que tengas y vigilancia. Al final de cuentas los proveedores serán un punto débil. No tengo la duda de que los bancos guarden correctamente la información, pero no se está orientando correctamente a los proveedores
Hiram Camarillo
BBVA México respondió a EL CEO que la información no salió del banco.
No sabemos de qué empresa salió, pero podemos asegurar que esa información no salió del banco
BBVA México
Mientras que Santander no respondió a la solicitud realizada por EL CEO.
Camarillo comentó que la mayoría de datos que ven en Internet son de proveedores porque, probablemente, esos proveedores los colocaron en un sistema y los dejaron desprotegidos o un usuario interno se robó la información.
“Pasa mucho en esta temporada. He visto en muchos foros preguntas que a veces hacen empleados. Preguntan a expertos de seguridad cómo sacar la información de clientes que tienen de la empresa donde trabajan, que cómo la pueden vender”, dijo Camarillo.
¿Quién es responsable de los datos?
Diego Garcia, coordinador de la Especialidad en Transparencia, Rendición de Cuentas y Combate a la Corrupción de la IBERO, dijo a EL CEO que está permitido que los bancos contraten servicios de otros proveedores y si necesitan usar los datos personales de los usuarios se crea esta figura de encargado.
En materia de datos personales existen dos figuras principales: el responsable y el encargado. El responsable es quien toma las decisiones sobre qué uso se le da a datos personales, cuando un usuario abre una cuenta con BBVA le entrega sus datos para abrir una cuenta y normalmente informa que va a ser con sus datos
Diego García
García comentó que es necesario saber quién fue el proveedor y saber por qué tenía datos personales de los usuarios de los bancos. En ese sentido, si los bancos transfieren datos a terceros debe haber un contrato de por medio en el que se defina para qué le transfiere los datos personales.
Reconocimiento facial de BBVA es invasivo y excesivo: usuarios
“Sí, efectivamente puede ser que la fuga fue al tercero, pero eso no deslinda de sus responsabilidad al banco. Tendríamos que ver qué relación hay, por ejemplo, entre BBVA y ese tercero. Si incumplió con alguna de las condiciones de ese contrato del banco.
En caso de que lo haya incumplido si se vuelve directamente responsable, pero si no BBVA mantiene un grado de responsabilidad”, comentó García.
Francisco Acuña, comisionado del INAI, comentó a EL CEO que tras enterarse por los medios y las redes sociales sobre la supuesta filtración de datos, el organismo inició una búsqueda de indicios o elementos que le permitan, eventualmente, intervenir y llegado el caso, de haber elementos suficientes, poder iniciar una investigación de oficio, una facultad que tiene el INAI.
En el caso de BBVA no hay certidumbre de que las base de datos que se menciona sea cierto. No podemos adelantar ninguna situación hasta que no haya elementos que le permitan al INAI presuponer que hay condiciones de investigación
Francisco Javier Acuña
De acuerdo con el comisionado Acuña, todavía el asunto es una especulación y esperan ver si los elementos que analizan los técnicos del INAI pudieran dar con ciertos elementos para iniciar con una investigación, que de ser así lo harían público.
“Qué bueno que el asunto tenga la dimensión pública porque eso habla que estamos creciendo como sociedad en darle la importancia a estos posibles accidentes en el manejo de datos personales de cualquier tipo usuarios. No tenemos todavía el asunto a nivel de situarlo como una cuestión de investigación formalizada”, dijo el comisionado del INAI.