Tipos de vulneraciones de datos personales

Ante la contingencia sanitaria provocada por el virus denominado COVID-19, resulta necesario identificar los riesgos o amenazas a las que se pueden enfrentar los datos personales de los particulares.

Los datos personales pueden ser vulnerados o lesionados cuando el tratamiento de la información es inadecuado, ya sea porque los titulares o los responsables carecen o ignoran deliberadamente las medidas de seguridad físicas, administrativas o técnicas que la norma establece. La vulnerabilidad es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma[1].

La obligación de confidencialidad se considera expuesta al materializarse alguna de las vulneraciones de seguridad[2], situación que puede presentarse en cualquiera de las fases del tratamiento de datos, es decir, desde su obtención hasta su cancelación, supresión o eliminación. Dichas vulneraciones pueden afectar de manera significativa los derechos patrimoniales o morales de los titulares.

En ese sentido, las leyes vigentes de protección de datos personales han determinado como vulneraciones de seguridad al menos, las siguientes:

I.                     La pérdida o destrucción no autorizada;

II.                   El robo, extravío o copia no autorizada;

III.                 El uso, acceso o tratamiento no autorizado,

IV.                El daño, la alteración o modificación no autorizada.

En consecuencia, el escenario en el que se encuentran los ciudadanos de requerir información cierta e inmediata, sobre las medidas implementadas por las autoridades sanitarias para evitar la propagación del virus denominado COVID-19, se ha convertido en una época muy útil y próspera para que los ciberdelincuentes intenten apropiarse de sus datos personales y dañar su imagen, patrimonio o afectar su honor.

No debemos olvidar que la información obtenida o generada en el ámbito de la salud, da cuenta de rasgos íntimos de las personas, como el historial médico, del que se pueden desprender padecimientos, pasados y presentes; tratamientos recibidos, alergias, información genética, adicciones, información psicológica de la que se puedan obtener trastornos mentales o bien vida sexual. La pérdida, comunicación o transferencia no autorizada de esta información, pone en riesgo la integridad de los titulares de los datos, exponiéndolos a actos discriminatorios o de segregación.

Este tipo de información, en el ámbito de los sujetos obligados (sector público), se considera confidencial, tal como lo dispone el artículo 113 fracción I, de la Ley Federal de Transparencia y Acceso a la Información Pública y tienen su calidad de sensibles de conformidad con los artículos 3, fracción X, y el artículo 7, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.  De forma paralela, en el sector privado el artículo 3° fracción VI, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, también les otorga la calidad de sensibles, obligando a todo el sector salud a cumplir de manera inequívoca con su protección pues son obtenidos a partir de los servicios médicos que prestan y deben garantizar la seguridad de estos.

 A manera de ejemplo, se explican algunos casos que se han presentado recientemente:

[1] Andrés Velázquez Olavarrieta, Diccionario de Protección de Datos Personales. Conceptos Fundamentales. Isabel Davara F. de Marcos, Coordinadora. INAI. Primera Edición. Noviembre 2019. Página 894.

[2] Artículo 38, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y artículo 63, del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.ó

A la fecha se ha identificado que, a través de correos electrónicos reconocidos como spam, se incluyen comunicados engañosos en los que suplantan páginas oficiales para distribuir sitios web infectados haciendo uso de títulos llamativos. El primer caso documentado fue reportado el pasado 3 de febrero de 2020, fecha en la que apareció en el boletín especializado[1] de Check Point Research[2]  en el que se informaba que los ciberdelincuentes se encontraban explotando el pánico mundial sobre el brote del coronavirus para infectar a los usuarios japoneses con Emotet[3]. Esto lo hacen a través de correos electrónicos que pretenden ser un aviso sobre medidas de prevención de infecciones, sobre la fabricación de una vacuna para combatir al virus, hasta la navegación de mapas interactivos en los que se identifican las zonas de propagación, así introducen un malware a los equipos de cómputo de los usuarios.

De esta manera, observamos como el software malicioso está siendo propagado aprovechando la necesidad o curiosidad de las personas por consultar información respecto a la pandemia de COVID-19[4].

[1] Para su consulta: https://research.checkpoint.com/2020/3rd-february-threat-intelligence-bulletin/

[2] Check Point Research proporciona es líder en inteligencia ante amenazas cibernéticas ya que incluye una comunidad de inteligencia que recopila y analiza los datos globales de ciberataques almacenados en ThreatCloud

[3] Emotet: Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de archivos de órdenes maliciosos, archivos de documentos habilitados para macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener imágenes de marcas conocidas diseñadas para que parezcan un correo electrónico legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos  https://es.malwarebytes.com/emotet/

[4] Para su consulta https://www.eset.com/bo/empresas/compania/enganos-que-explotan-el-miedo-por-el-coronavirus/

Ofertas falsas

En otra clase de engaño los scammers[1] envían correos de spam en búsqueda de que las víctimas crean que pueden ordenar máscaras de protección para mantenerse a salvo del nuevo virus. Lo que realmente sucede es que las víctimas revelan información sensible, personal y financiera, a los atacantes.

Por otra parte, la ESET[2] Latinoamérica (Enjoy Safer Technology), advierte un gran incremento de campañas maliciosas en las que los cibercriminales intentan aprovecharse de la situación del coronavirus para comprometer a los usuarios.

Desde el Laboratorio de Investigación de ESET, se comparten algunas campañas recientes que han sido alertadas por autoridades locales y organismos internacionales para evitar que los usuarios caigan en este tipo de engaños:

  1. Campaña en Colombia suplanta identidad del Ministerio de Salud: Una de las alertas más recientes fue comunicada por el Ministerio de Salud de Colombia, quien a través de su cuenta de Twitter advirtió la existencia de una campaña que circula por correo electrónico y por WhatsApp, suplantando la identidad del Ministerio de Salud, en la que envían un adjunto (archivo PDF) para distribuir un código malicioso que se instala en el dispositivo de la víctima. El objetivo de esta campaña es robar información personal, asegura el organismo de salud colombiano.
 
  1. Campaña en España simula ser el Ministerio de Sanidad: La Guardia Civil en España alertó a los usuarios a través de su cuenta de Twitter sobre una campaña que al parecer solo circula por WhatsApp, en la que se suplanta la identidad del Ministerio de Sanidad para compartir recomendaciones relacionadas sobre este virus. El mensaje incluye una URL en la que supuestamente se venden mascarillas o barbijos, cuando en realidad lo que busca la campaña es robar datos personales de las víctimas.

[1] Scammer significa, literalmente, estafador. Concretamente, en el mundo virtual se denomina de esta forma a todas aquellas personas que utilizan la información desprotegida que pulula por internet para aprovecharse de una víctima y estafarle.

[2] Para su consulta: https://www.eset.com/py/acerca-de-eset/sala-de-prensa/comunicados-de-prensa/articulos-de-prensa/crecen-las-campanas-de-malware-que-intentan-aprovechar-el-temor-provocado-por-el-covid-19/

Una de las principales vulneraciones a los datos personales es la apropiación de la identidad de una persona, para hacerse pasar por ella, asumir su identidad frente a terceros públicos o privados, a fin de obtener ciertos recursos o beneficios a su nombre. El robo de identidad implica la obtención y uso NO autorizado e ilegal de datos personales[1].

En ese sentido, el equipo de investigación de ESET[2] ha compartido algunos ejemplos de las técnicas de ataque que han sido utilizadas recientemente.

Como la Organización Mundial de la Salud -OMS, es la principal fuente de información sobre el brote de Coronavirus, se encuentra entre las autoridades cuya identidad se ha visto más suplantada en las últimas campañas de engaños[3]. La forma de operar de los atacantes ha sido ofrecer información relevante acerca del virus, en un intento por lograr que potenciales víctimas hagan clic en los enlaces maliciosos. Comúnmente, dichos enlaces pueden instalar malware, robar información personal, o intentar obtener credenciales de ingreso y contraseñas.

[1] https://micrositios.inai.org.mx/identidadsegura/?page_id=37

[2] Para su consulta https://www.eset.com/bo/empresas/compania/enganos-que-explotan-el-miedo-por-el-coronavirus/

[3] Para su consulta: https://news.un.org/es/story/2020/02/1470381

En el contexto de la pandemia se ha identificado la suplantación de sitios web, que tiene como origen un sitio web de phishing el cual suplanta al sitio web original, tal es el caso del medio de comunicación Wall Street Journal (WSJ)[1],  en donde se identificó que un sitio web de phishing se encontraba suplantando la identidad de este sitio web de noticias con supuestos reportes respecto a las últimas noticias acerca del COVID-19. En la dirección electrónica, se observa que comienza con ‘worldstreet’, y el logo que allí se muestra también dice ‘world street’.

Aun así, hay ciertas coincidencias visuales con el estilo de marca del WSJ, en el intento de engañar al visitante para que crea que se trata del Wall Street Journal. La exposición de publicidad en este sitio genera ingresos para los actores maliciosos, incluso si no se obtienen datos personales del usuario.

En México se han identificado recientemente campañas maliciosas, que tienen que ver con suplantación de identidad de autoridades gubernamentales utilizando la necesidad de las personas ante la emergencia sanitaria del COVID- 19, a través de WhatsApp indicando presuntos pagos de bonos semanales para la compra de alimentos.[2]

Otro tipo de engaño que se ha presentado es aquel que busca conmover al receptor para que éste colabore en la creación de una vacuna para los niños de China. De acuerdo con la Secretaria de Salud[3], no existe una vacuna disponible, y no se espera que llegue al público hasta el próximo año.

Otra forma de sorprender a los usuarios ha sido enviando correos relativos al coronavirus, mediante los que se les pide que envíen bitcoins a las billeteras virtuales de los atacantes. Más allá de que esta técnica solo sea efectiva para una fracción de los usuarios, cuando se lleva adelante a escala global puede resultar financieramente atractiva para los criminales.

[1] Para su consulta: https://www.eset.com/bo/empresas/compania/enganos-que-explotan-el-miedo-por-el-coronavirus/

[2] Para su consulta:  https://latam.kaspersky.com/about/press-releases/2020_ciberdelincuentes-usan-covid-19-para-difundir-estafas-v-a-whatsapp

[3] Para su consulta:  https://www.gob.mx/salud/documentos/mitos-y-realidades-de-covid-19?state=published

Finalmente, y considerando que los supuestos descritos son sólo algunos de los ejemplos que muestran cómo los cibercriminales buscan aprovecharse del ambiente de incertidumbre y preocupación que rodea el brote del COVID-19. Es un buen momento para que los usuarios y los responsables de los datos personales aprendan, o recuerden, algunas de las formas más comunes que tienen los criminales de capitalizar las emociones de la gente.

Es indispensable mantenerse alertas, para que al tiempo que se proteja la integridad física de los titulares de los datos, también se puedan identificar e ignorar los intentos de cibercriminales que pretendan realizar fraudes o difundir noticias falsas, esta es una actividad esencial.  Por ello algunos puntos básicos que los ayudarán a mantenerse a salvo en línea, son:

  • Evite hacer clic en cualquiera de los enlaces adjuntos o descargar archivos anexos a correos no solicitados o textos de fuentes no reconocidas, o incluso de fuentes confiables a no ser que esté absolutamente seguro de que dicho mensaje es auténtico.
  • Ignore las comunicaciones que le solicitan su información personal. De ser necesario, verifique los contenidos del mensaje con el emisor o la organización que dicen representar, y hágalo a través de otro medio que no sea el mensaje recibido.
  • Manténgase especialmente atento a los correos que añaden un sentido de alerta y lo urgen a tomar una acción inmediata u ofrecen vacunas o curas contra el COVID-19.
  • Esté atento ante donaciones fraudulentas o campañas de financiación compartida de proyectos.
  • Utilice software de seguridad en múltiples capas que incluya protección contra el phishing.
  • Introduzca el nombre de usuario y contraseña solo cuando la conexión sea segura.
  • Lo mismo ocurre en correos de organizaciones oficiales, como bancos, agencias de impuestos, tiendas online, agencias de viajes, aerolíneas, etc. Incluso de su propia oficina.