Las bases de datos biométricos en México adolecen en general de falta de seguridad en todas las fases del proceso, desde la captación, manejo y resguardo, hasta su eliminación, lo cual coloca en grave riesgo a los usuarios de que su información termine en la “darkweb”, como ya ha ocurrido en diversas ocasiones, incluso este año cuando se descubrió la venta clandestina de datos relacionados con 97 mil usuarios de la banca mexicana.
Estas acciones representan la pérdida de su privacidad, suplantación de identidad, fraude y otros delitos, además que las organizaciones públicas o privadas responsables, podrían hacerse acreedoras a sanciones legales y financieras, advirtió Manuel Moreno, director de Habilitación de Ventas de Seguridad de IQSEC, empresa dedicada a la ciberseguridad y el cuidado de la identidad digital.
El especialista recordó que desde 2017, cuando se publicó el Anexo 71 de la Circular Única de Bancos, las instituciones financieras comenzaron a recopilar datos biométricos de sus clientes, los cuales se consideran información sensible.
No obstante, se han encontrado fallas en el control de esa información en todas sus fases, y prueba de ello es que apenas en febrero de este año se conoció la filtración de una base de datos del Buró de Crédito con información de 2016, que debía haberse eliminado conforme a las normas establecidas pero que evidentemente incumplió con esos requisitos.
En ese sentido, el ejecutivo de IQSEC señaló que es necesaria una gobernanza más eficaz del manejo de esta información biométrica, tanto en las instituciones del sector financiero, como en cualquier otra instancia, ya sea del sector público o del privado, que solicite esta clase de información al público usuario.
“El manejo de información en sí, trae grandes riesgos que aumentan ante la falta de control, definición de responsabilidades, roles y procesos para gestionar y proteger los datos a lo largo de su ciclo de vida. Más aun tratándose de datos biométricos, considerados sensibles, cuya filtración detonaría consecuencias graves no solo para la organización o la institución encargada de recopilarlos, también para el usuario mismo”, explicó.
De hecho, tan sólo el año pasado, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), reportó una recaudación superior a 60 millones de pesos por concepto de multas por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), muchas de ellas debidas al mal manejo de la información personal de quienes usan diversos servicios.
Y aunque el avance de la tecnología implica nuevos retos para el cuidado de la información que proporcionan los particulares al realizar trámites ante empresas del sector privado e instituciones del sector público, una de las recomendaciones es que se adhieran a certificaciones y estándares de buenas prácticas como las normas ISO/IEC 30107-3, 27001 y 27701, para tener un mejor control de esta información.
También existe herramientas de gobernanza, riesgo y cumplimiento, así como de administración de identidades que, en conjunto, pueden otorgar una certeza razonable respecto a la seguridad y disponibilidad de los datos en posesión de particulares o sujetos obligados y que éstos puedan utilizarse cuando las personas con la capacitación y los permisos correctos, los requieran para realizar aquellos procesos autorizados.
C$T-EVP