A la venta, bases de datos de BBVA, Santander e IMSS con millones de registros

Ene 26, 2021 | Privacidad

Tres bases de datos con supuestos registros de personas usuarias de los bancos BBVA y Santander, así como del Instituto Mexicano del Seguro Social, fueron puestas a la venta el 22 de enero en un foro. El registro de BBVA alega tener tres millones de registros, el de Santander tendría un millón y el del IMSS, 42 millones.

Hiram Camarillo, director y fundador de la firma de ciberseguridad Seekurity, revisó las bases de datos. Entre los registros filtrados en la base de datos de BBVA se encuentran el nombre completo de la persona, dirección (calle, colonia, ciudad, estado y código postal), número telefónico y RFC; mientras que la base de Santander, además de los datos anteriores, incluye el número de tarjeta.

Por su parte, la base de datos del IMSS incluye datos como nombre y domicilio del empleador, así como nombre, número de afiliación, CURP y salario base del trabajador.

No es posible identificar la fecha ni procedencia de los datos, sin embargo, un medio especializado en seguridad informática afirma que el grupo Bank Security ─que también alertó sobre el caso─ logró ponerse en contacto con el vendedor, quien “tiene buena reputación en foros de dark web y por eso puede ser cierto que la base de datos es real”.

El atacante ofreció en el sitio, a finales de diciembre de 2020, una base de datos de Telcel con 60 millones de registros, presuntamente actualizada a 2019-2020. En ese mismo mes, otro usuario publicó una presunta base de datos con información del programa de Becas de Educación Media Superior Benito Juárez del Banco del Bienestar, la cual fue reportada por El Economista.

Estas no son las únicas bases con datos de empresas e instituciones de México. Otro vendedor ofertó, el 25 de enero, bases de compañías como Coppel, Banamex y Movistar, así como de organismos como la Comisión Federal de Electricidad, el Instituto Nacional Electoral, el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado, y el Instituto del Fondo Nacional de la Vivienda para los Trabajadores, entre otros.

Ante el cuestionamiento de otros usuarios sobre la actualidad de los datos, el vendedor respondió que, aunque algunas de esas bases pueden ser viejas, “yo aún hago campaña con esas bases y en todas tengo 80-90% de contacto sin rebote”.

Estos incidentes son un recordatorio del deber que tienen empresas y sujetos obligados en el resguardo, tratamiento y transferencia de datos personales. Además, este tipo de vulneraciones se vuelven aún más graves cuando las instituciones utilizan bases de datos centralizadas, como la que pretende crear el Padrón Nacional de Usuarios de Telefonía Móvil.

Basta recordar, como ejemplo, que la base de datos del Registro Nacional de Usuarios de Telefonía (Renaut), creado en 2009 y vigente hasta 2011, estuvo a la venta en el mercado negro.

Así mismo, las empresas tienen la obligación de notificar a las personas usuarias cuando han sido afectadas por una filtración. En el caso de los bancos referidos ─BBVA y Santander─ hasta el momento no han emitido ningún pronunciamiento sobre la revelación de estas bases de datos.

Finalmente, ante la falta de garantías mínimas de protección de datos, tanto las instituciones bancarias como otros organismos públicos deben frenar sus esfuerzos por recabar y almacenar información biométrica ─como huella digital, rostro, iris o ADN─, cuya malversación tendría efectos desastrosos en la privacidad y seguridad de las personas.

Por razones de seguridad, se han omitido los enlaces al foro donde se ofrecen las bases de datos. Toda la información utilizada en este texto fue obtenida por fuentes públicas.

Actualización (3 de febrero de 2021): Las publicaciones del foro donde se ofrecen las bases de datos de BBVA, Santander e IMSS, así como la oferta del 25 de enero con diversas bases de empresas e instituciones mexicanas, han sido eliminadas.


Imagen de Christoph Scholz (CC BY-SA 2.0)

Publicaciones relacionadas

Las bibliotecas deben contar con excepciones al derecho de autor para garantizar el acceso al conocimiento y la cultura

Las bibliotecas deben contar con excepciones al derecho de autor para garantizar el acceso al conocimiento y la cultura

La Segunda Sala de la Suprema Corte de Justicia de la Nación resolvió los amparos en revisión 132/2022 y 164/2022 en contra de la Ley General de Bibliotecas. Si bien la Corte resolvió a favor de la constitucionalidad de dicha ley, también interpretó que las bibliotecas depositarias no pueden poner a disposición del público las obras a menos que cuenten con autorización del titular de derechos de autor.

Parlamento Europeo cuestiona a NSO Group durante comparecencia

Parlamento Europeo cuestiona a NSO Group durante comparecencia

Eurodiputados cuestionaron duramente al representante de la empresa NSO Group, Chaim Gelfand, consejero General y oficial en Jefe de Cumplimiento de la compañía, durante una sesión del comité que investiga los abusos cometidos con esta tecnología dentro de la Unión Europea.

La aprobación de extraditar a Julian Assange a Estados Unidos manda un mensaje de intimidación a periodistas y personas alertadoras

La aprobación de extraditar a Julian Assange a Estados Unidos manda un mensaje de intimidación a periodistas y personas alertadoras

El pasado 17 de junio, la Ministra de Interior del Reino Unido, Priti Patel, aprobó una orden de extradición de Julian Assange, a petición del gobierno de Estados Unidos. Esta decisión envía un mensaje contundente para intimidar y provocar la autocensura de periodistas y de otras personas que alertan acciones y omisiones de los Estados que cometen violaciones a derechos humanos y actos de corrupción.

El reconocimiento facial en India está fuera de control

El reconocimiento facial en India está fuera de control

El estado indio de Telangana se ha convertido en la capital de la vigilancia de este país, alertan organizaciones nacionales e internacionales, que ven un gran incremento en el uso de tecnologías de inteligencia artificial para crear perfiles de su ciudadanía sin controles judiciales, ni un objetivo legítimo.

INAI no debe validar FAN ID de forma opaca y precipitada

INAI no debe validar FAN ID de forma opaca y precipitada

Por medio de la presente, expresamos nuestra inconformidad ante la ausencia de la sociedad civil en la mesa de trabajo entre el Instituto con la Federación Mexicana de Fútbol (FMF) y la Liga MX sobre la implementación del sistema de registro e identificación biométrica (Fan ID), así como las cámaras con capacidades de reconocimiento facial en los estadios de fútbol.