Una decisión de la Superintendencia de Industria y Comercio castiga a Scotiabank Colpatria por un sensible tema de filtración de datos de sus usuarios. La multa impuesta a la entidad es de $ 700.836.736, equivalentes a 523 salarios mínimos legales mensuales vigentes.La historia tiene que ver con un funcionario que utilizó irregularmente el acceso que tenía a las bases de datos del banco y envió a su correo personal esos datos. SEMANA conoció la decisión de la Superintendencia. En esta se narra cómo “el funcionario aceptó haber utilizado sus privilegios de excepción para enviar archivos ZIP cifrados a su correo electrónico personal y que estos contenían información personal de clientes y que él obtenía la información de una carpeta compartida utilizada por su grupo de trabajo. El empleado admitió haber usado sus privilegios de excepción para enviar archivos cifrados a su correo electrónico personal y venderlos por una tarifa (…)”.El banco realizó unas pesquisas sobre el asunto y concluyó que “el total de clientes cuya información personal se vio comprometida con la ocurrencia de este evento es de setecientas veintiún mil trescientas setenta y un (721.371) personas”. En la investigación se logró probar que el funcionario “envió información personal y crediticia de miles de clientes del Banco, en archivos en formato ZIP y cifrados con contraseña, desde su correo electrónico de dominio corporativo con destino a su cuenta de correo electrónico personal”. La Superintendencia asegura que resulta importante “establecer que dentro del presente expediente no se encontró prueba que demostrara que la información de los clientes haya sido compartida con terceros no autorizados por parte del señor con un fin económico”.En el marco de ese proceso, el Grupo de Trabajo de Informática Forense y Seguridad Digital de la Superintendencia hizo un análisis en el que llegó a la conclusión de que “este incidente afectó la confidencialidad de los datos personales”. Y allí determinó dos puntos clave. 1) Los datos afectados corresponden a datos generales, datos de identificación, datos socioeconómicos, y datos de ubicación. 2) Después de realizar el análisis de la información reportada por la sociedad, el incidente de seguridad se clasifica como severidad alta.En medio de la investigación, el banco entregó a la Superintendencia un archivo denominado: “‘Reclamaciones titulares afectados’, el cual se encuentra compuesto por dos hojas llamadas ‘intento fraude-falso positivo’ y ‘fraude materializado’; esta última se encuentra compuesta por 52.928 registros de quejas asociados a fraude durante el periodo de investigación del incidente; sin embargo, no se observan quejas relacionadas con la ocurrencia del incidente”. Tras haber detectado el tema, el banco asegura haber hecho planes de prevención para que esto no vuelva a ocurrir. Estos actos incluyen temas de seguridad informática, pero también capacitaciones internas y externas sobre la protección de datos personales. Una de estas fue una campaña en redes sociales con el HT “#Señalesdealerta”. Por ejemplo, la entidad señaló que “ha implementado mejoras en la gestión de clientes, poniendo en un grupo de control a los clientes relacionados con este evento particular, con reglas de prevención dirigidas a comercios de mayor nivel de fraude y reglas más restrictivas”. También indicó que “se establecieron otros (parámetros) para atender lo relacionado con suplantación, transacciones por canales digitales y compras no reconocidas”. El funcionario que fue involucrado en los hechos también fue sancionado con una multa de ocho millones de pesos ($ 8.040.192).
Section
Medio
Escrito por