Las bases de datos de biométricos en México revelan áreas sin protección: IQSEC

  • Ante la creación de una Base de Datos Nacional en México, IQSEC evalúa la falta de gestión de los datos biométricos.

La generación de una base de datos de biométricos, práctica que ya se ha generalizado en el sector financiero en México, revela áreas sin protección que obligan a promover mayores controles de seguridad en el manejo de información biométrica.

Toda institución que recopile información de carácter sensible, como lo son las características biométricas, debe promover su efectiva gobernanza, desde la captación hasta el resguardo de ellos, para evitar la filtración, la violación o el mal manejo de las bases de datos, que día a día se exfiltran y se venden en el mercado negro o la llamada “dark web”.

Tan solo en el primer trimestre del año se dio a conocer la venta en un sitio dark de una base de datos de más de 97 mil usuarios bancarios mexicanos, como parte de un total de 2 millones de tarjetas de crédito y débito robadas en todo el mundo, algunas con fechas de vencimiento hasta 2052. Este hecho se sumó a la filtración informada en febrero, de una base de datos del Buró de Crédito, que data de 2016, que habría sido eliminada, sin el procedimiento correcto.

La generación de una base de datos biométricos no es algo nuevo en México. De hecho, es una práctica generalizada en el sector financiero desde 2017, a partir de la publicación del Anexo 71, de la Circular Única de Bancos. Sin embargo, se han encontrado áreas de oportunidad que obligan a promover mayores controles de seguridad en el manejo de información biométrica para evitar poner en riesgo a los usuarios de cualquier servicio”, afirmó Manuel Moreno, Chief Security Sales Enablement Officer.

Principales faltantes

Los principales faltantes en la seguridad de bases de datos es la gobernanza en la información al momento de la captación; en el manejo y resguardo, y en la eliminación de los mismos.

El manejo de información, en sí, trae grandes riesgos que aumentan ante la falta de control, definición de responsabilidades, roles y procesos para gestionar y proteger los datos a lo largo de su ciclo de vida. Más aun tratándose de datos biométricos, considerados sensibles, cuya filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, también para el usuario mismo”, explicó el experto en Ciberseguridad.

Los riesgos a los que estaríamos expuestos son la pérdida de su privacidad, la suplantación de identidad, fraude y otros delitos. Mientras que las organizaciones públicas o privadas podrían hacerse acreedoras a sanciones legales y financieras.

En 2022, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) reportó una recaudación de $60,078,958 pesos en concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

En consecuencia, en cada recopilación de datos, las organizaciones, tanto públicas como privadas deberían adherirse a certificaciones y estándares que promuevan su compromiso con las buenas prácticas de gobierno de datos, como lo son las ISO/IEC 30107-3, 27001 y 27701”, refirió el Director de Habilitación de Ventas de Seguridad de IQSEC.

Herramientas de gobernanza, riesgo y cumplimiento (GRC) y de administración de identidades (IGA) en conjunto, podrán dar certeza razonable, que cada base de datos en manos de particulares o sujetos obligados, estén seguros y disponibles para las personas adecuadas en el momento requerido.