La Presidenta de la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) de Estados Unidos, Jessica Rosenworcel, compartió un Aviso de Propuesta de Reglamentación (NPRM) que impondría a las compañías del sector nuevas reglas para reportar las posibles brechas de datos, tanto a usuarios como a las autoridades competentes.

En la era de la digitalización, las filtraciones o brechas de datos han comenzado a ser una noticia más habitual de lo que los usuarios y autoridades o las propias compañías quisieran. Con la intención de dar mayor información a los usuarios sobre la posible afectación a sus datos personales, la FCC impondría reglas más estrictas para informar sobre estos incidentes en un menor tiempo y fortalecer la cooperación con las instituciones de seguridad.

“La ley actual ya requiere que los operadores de telecomunicaciones protejan la privacidad y seguridad de la información confidencial de los clientes. Pero estas reglas deben actualizarse para reflejar completamente la naturaleza cambiante de las filtraciones de datos y la amenaza en tiempo real que representan para los consumidores afectados”, dijo la presidenta Rosenworcel en un comunicado.

Conforme se lleva a cabo la digitalización de nuestras actividades cotidianas, y estas a su vez se transforman en valiosos datos para compañías tecnológicas y proveedores de servicios, organizaciones y autoridades han alertado sobre la necesidad de dar más facultades a los usuarios para que puedan tener mayor control sobre toda esta información.

Rosenworcel indicó que “los clientes merecen estar protegidos contra el aumento de la frecuencia, la sofisticación y la escala de estas filtraciones de datos y las consecuencias que pueden durar años después de una exposición de la información personal”.

La propuesta describe varias actualizaciones a las reglas actuales de la FCC que abordan los requisitos de notificación por filtraciones de los operadores de telecomunicaciones. Las actualizaciones incluyen la eliminación del periodo de espera obligatorio actual de siete días hábiles para notificar a los clientes sobre un incumplimiento; ampliar las protecciones de los clientes al exigir la notificación de brechas involuntarias; y exigir a los proveedores que notifiquen a la Comisión de todas las infracciones reportables además del FBI y el Servicio Secreto de Estados Unidos.

El Aviso de Propuesta de Reglamentación fue presentado este miércoles por Rosenworcel, con el cual espera permitir a la FCC avanzar en sus esfuerzos para garantizar que sus reglas se mantengan al día con las amenazas de seguridad cibernética en evolución y para proteger a los consumidores frente a los desafíos actuales.

La propuesta también tiene como objetivo garantizar que la Comisión y otras agencias federales encargadas del cumplimiento de la ley reciban la información que necesitan de manera oportuna para que puedan mitigar y prevenir daños debido a la infracción y tomar medidas para reducir la probabilidad de futuros incidentes, según se explica en un comunicado.

Razer, una compañía global de fabricación de hardware para juegos, juegos electrónicos y proveedor de servicios financieros, dejó expuestos más de 100 mil datos de clientes en la web.

El consultor de seguridad, Volodymyr “Bob” Diachenko, publicó en LinkedIn que la información expuesta incluye nombre completo, correo electrónico, número de teléfono, identificación interna del cliente, número de pedido, detalles del pedido, dirección de facturación y envío.

Mencionó que los datos formaban parte de un registro almacenado en el clúster de Elasticsearch de Razer, el cual había sido mal configurado para el acceso público e indexado por motores de búsqueda públicos.

Diachenko dijo que la base de datos fue expuesta el pasado 18 de agosto, y que el 19 de agosto notificó a la compañía sobre el problema; mencionó que no estaba claro, con precisión, cuántos clientes se habían visto afectados por el problema.

“Inmediatamente notifiqué a la empresa a través de su canal de soporte sobre la exposición; sin embargo, mi mensaje nunca llegó a las personas adecuadas dentro de la empresa y fue procesado por gerentes de soporte no técnico durante más de tres semanas hasta que la instancia se aseguró del acceso público”, declaró en su publicación.

Mientras tanto, Razer respondió: “Nos gustaría agradecer, disculparnos sinceramente por el error, y haber tomado todas las medidas necesarias para solucionar el problema, así como realizar una revisión exhaustiva de nuestros sistemas y seguridad de TI. Seguimos comprometidos con garantizar la seguridad digital de todos nuestros clientes”.

“Bob” Diachenko manifestó que los clientes de Razer podrían correr el riesgo de sufrir fraudes y ataques de phishing dirigidos, perpetrados por delincuentes que podrían haber accedido a los datos.

Aseguró que su objetivo es ayudar a proteger los datos en Internet identificando fugas de datos y siguiendo políticas de divulgación responsable: “Nuestra misión es hacer que el mundo cibernético sea más seguro mediante la educación de empresas y comunidades de todo el mundo”.

Las filtraciones de seguridad son algo con lo cual las empresas han tenido que lidiar en los últimos años. Sin embargo, parece que no todo es culpa de los profesionales en seguridad de las compañías.

Según una encuesta realizada por SaaS BetterCloud, en donde se entrevistaron a 500 profesionales de TI y seguridad; 62 por ciento de los encuestados cree que la principal amenaza de seguridad para una empresa son los empleados ordinarios y negligentes que no siguen las instrucciones de los profesionales.

Recomendado: Empresas forman coalición para proteger la privacidad de Estados Unidos

Además, 75 por ciento de los profesionales cree que los mayores agujeros de seguridad son las plataformas de almacenamiento en la nube como Google Drive, Dropbox, Box, OneDrive; así como los servicios de correo electrónico como Gmail. Office 365 también se mencionan como un gran problema.