Con los cambios a la Ley de Telecomunicaciones, se estipula que los dueños de líneas móviles tienen que registrarse de manera obligatoria para así evitar delitos como extorsiones, robos y demás llamadas fraudulentas, proporcionando datos personales y una prueba de vida. Todos los registros estarán a cargo de las mismas compañías que proporcionan el servicio telefónico e internet, y del cual se tienen 6 meses para hacerlo o se suspenderá tanto la línea como el acceso al Internet hasta que se realice.
En éste punto es el operador del servicio el encargado de resguardar, proteger y manejar los datos personales (sensibles) para evitar su mal uso, con forme a la Ley de Protección de Datos en Posesión de Particulares.
Sin embargo, a pocos días de haber iniciado el registro, se filtraron de manera pública los datos sensibles, los cuales por supuesto fueron vulnerados, sin que los afectados hayan recibido alguna notificación de que su información fue filtrada, lo que demuestra que la empresa no cuenta con protocolos de actuación ante tales situaciones.
Se han utilizado los datos privados de los usuarios para registrar nuevas líneas utilizando la información proporcionada para hacerlo y, lo peor de todo, es que el sistema lo permite. Un problema grave de seguridad y por supuesto de suplantación de identidad. Que aunque algunos lo realizaron como simple ejercicio para demostrar la fragilidad del sistema, de la seguridad que tienen las empresas y la seguridad expuesta de los dueños de esa información, es un delito.
Además de la falta de preparación para resguardar la información derivada por las disposiciones de la ley, falta de infraestructura y la suplantación de identidad, existen otros riesgos como:
- – Carga excesiva para registrar millones de datos, no sólo de las empresas grandes, sino de las pequeñas que ofrecen internet y línea; así como poca o nula infraestructura para realizarlo.
- – Poco conocimiento en ciberseguridad.
- – Violación de la privacidad de los usuarios de líneas móviles, en donde el gobierno puede conocer y registrar toda la actividad que realiza en su dispositivo y sobre todo quién lo hace.
- – Clonación de SIM.
- – Fraudes por el robo de identidad.
- – Extorsiones.
- – No hay registros correctos si es línea personal o de terceros.
- – Nula acción de las autoridades y de los encargados de resguardar, manejar y cuidar los datos personales.
Aunque ya se realizaron ajustes para evitar de nuevo filtraciones, se deben de llevar a cabo más protocolos que cubran las diferentes necesidades como es el equipo de resguardo, personal a cargo, claves de seguridad, ciberseguridad, por mencionar algunos; así como tener un sistema de gestión que se base en la seguridad de la información sin importar el tipo, ya sea digital o físico y los métodos de su resguardo; así como medidas para minorar un posible riesgo antes, durante y después de un incidente. De ésta manera, se reducen los riesgo de alguna fuga, robo total o parcial, filtraciones o ataques diversos, se tiene un plan a seguir si ello ocurre, cómo reducir los daños y darle seguimiento después para mejorarlo y que no vuelva a suceder. Lo que cubriría una certificación en ISO 27001 para la Seguridad de la Información.
Por el momento se requieren más acciones que solamente evitar que la información proporcionada sea de alguna manera compartida sin el consentimiento del dueño y su poca preparación ante ello, por lo que hay que esperar a que sus medidas mejoren, lo que sólo con el tiempo se demostrará.
En OSG, Organismo de Certificación contamos con la certificación en sistemas de gestión de ISO 27001:2022 en Seguridad de la Información, aceptada internacionalmente.
