Brechas en MasterCard y CitiFinancial: ¿Hacia nuevas normas de respaldo de información?

21 Jun 2005 en Seguridad

Hace aproximadamente 20 días, la compañía UPS extravió cintas que contenían la información personal de casi cuatro millones de clientes de CitiFinancial, una de las subsidiarias de CitiGroup. Las cintas contenían sus nombres, números de cuenta, seguro social e historial de pagos. La información se envío para actualizar los historiales de crédito y se había grabado en las cintas sin previo encriptado.
A partir de ese momento, en Citigroup se ha puesto en tela de juicio el valor y la seguridad de los backups en cintas. Además, varios de los más resonantes eventos de violación de seguridad, sólo fueron conocidos gracias a una ley del Estado de California que exige hacer públicos estos hechos a los residentes de ese estado.
Ayer se conoció el caso de MasterCard, considerado el mayor evento de brecha de seguridad en la historia de la informática electrónica. Los datos de cuarenta millones de usuarios de tarjetas de crédito quedaron expuestos a través de la firma de procesamiento de tarjetas de crédito CardSystems Solutions. Los datos incluyen nombres, números de cuenta bancaria, seguro social, fechas de nacimiento y otra información personal.
Unos 13,9 millones de tarjetas son de la marca MasterCard, mientras que tanto Visa como American Express, reconocieron que los datos de parte de sus usuarios también quedaron expuestos en CardSystems.
La seguridad de CardSystems es custodiada por un team especializado y se mantiene cooperación con el FBI. También se audita a través de una firma externa.
El año pasado, Bank Of America y Time Warner atravesaron situaciones similares.
Estos hechos han creado verdadero revuelo en el Congreso de los EE.UU. y entre las autoridades de los diferentes estados de esa nación. En nuestro país existen algunas regulaciones impuestas por el Banco Central, además de algunas leyes que protegen la privacidad de los datos, pero se sospecha que muchas instituciones bancarias aún no cumplen con dichas regulaciones y que, ante las periódicas inspecciones de parte del Banco Central, van obteniendo prórrogas que les permiten mantener sus precarios sistemas de protección a la seguridad.
Esperemos que estos resonantes casos abran los ojos de las autoridades y les motiven para poner las cosas en regla, algo que según variadas fuentes de información, no ocurre plenamente.
El resultado puede ser que las instituciones adopten nuevos esquemas de backup y respaldo de la información operativa para amenguar el riesgo de exposición, utilizando tecnologías de encripción y otras formas de protección.