El Banco Central de Brasil informó ayer (19) de la ocurrencia de otro incidente de seguridad con datos personales vinculados a claves Pix. Esta vez, la información expuesta estaba bajo la guarda y responsabilidad de SHPP Brasil Institución de Pago y Servicios de Pagos LTDA, Shopee. Como en otras de las 14 ocasiones en que casos similares fueron reportados por el organismo, la noticia vino acompañada del intento de tranquilizar al afirmar que los datos en cuestión no causaron perjuicios a los consumidores ya que no están relacionados con procesos que afectan la movilización de dinero. A pesar de ello, los especialistas advierten que este tipo de enfoque puede llevar a una disminución en la comprensión de la gravedad del asunto y permitir que las personas caigan en fraudes futuros con el uso de estos datos.
La socia de DeServ Academy, Bruna Fabiane da Silva, elegida una de las 50 Mejores Mujeres en Seguridad Cibernética de las Américas por WOMCY (LATAM Women in Cybersecurity), afirma que aunque la información expuesta sea solo de carácter registral, como nombre, CPF, institución de relación, agencia, número y tipo de cuenta, las personas que tuvieron estos datos filtrados deben estar atentas porque pueden ser víctimas de fraudes como el phishing y otros que utilizan ingeniería social.Es importante considerar que esto es una ruptura importante de la confidencialidad de la información que es la seguridad de los datos», comenta.
Según ella, normalmente estos casos ocurren por la existencia de fallas en las prácticas de privacidad desde el diseño y privacidad por defecto, que son, incluso, requisitos de las legislaciones de privacidad de datos. Cuando ocurre este incidente, tenemos una violación de datos que afecta los derechos garantizados por la LGPD.
“Justo en septiembre, cuando la LGPD cumple 4 años, este tipo de situaciones deben servir como lección aprendida en el sentido de que todas las empresas necesitan tener estrategias para mitigar el riesgo de fugas de datos. La LGPD va más allá de la seguridad de la información y los aspectos legales. Al buscar un procedimiento dentro de las organizaciones de datos personales, es importante considerar la seguridad de la información como una forma de planificar cualquier proyecto o servicio. “Porque durante todo el ciclo de vida de esta información deben existir protecciones, incluida la destrucción de datos, que también debe ser segura”, afirma.
Según ella, para evitar la ocurrencia de fallos puntuales en los sistemas es fundamental observar toda la cadena de desarrollo de las aplicaciones y los sistemas desde la fase de programación y pruebas hasta cuando pasa a producción. Este seguimiento se exige precisamente para prevenir los posibles problemas y fallos antes de que ocurran.
La especialista aconseja a todas las empresas que manejan datos personales que desarrollen procesos de mejora continua que abarquen tanto el aspecto jurídico como el de seguridad de la información. Durante todas as etapas de tratamento de dados, é fundamental buscar uma adequação imediata com a LGPD.La propia legislación exige que se elabore un informe de impacto sobre la protección de datos y la empresa necesita estructurarse para que estos procesos estén bien encaminados y poder gestionar posibles riesgos», afirma.
