Protección

La seguridad de los datos preocupa en EE UU

Las autoridades australianas han confirmado que el National Australian Bank dio en diciembre la voz de alarma en EE UU a Mastercard y Visa por operaciones sospechosas con tarjetas de crédito. En junio, Mastercard notificó a las entidades emisoras de sus tarjetas que había habido un agujero en la seguridad de un procesador de información, CardSystems, que comprometía la seguridad de 40 millones de tarjetas.

Para entonces, el FBI estaba ya al tanto y pidió a las entidades afectadas que no revelaran detalles. El objetivo era no dificultar la investigación de la que puede haber sido la mayor ruptura de seguridad de este tipo.

De momento, apenas ha trascendido nada de estas pesquisas. Pero es la intervención del FBI lo que ha evitado que este abultado caso haya podido ser conocido antes y de forma obligatoria. Curiosamente lo que forzaría a que estas brechas de seguridad se den a conocer en EE UU es una ley de California que entró en vigor en 2003.

La ley establece que las empresas u oficinas gubernamentales notifiquen obligatoriamente a los residentes de este estado si ha habido una quiebra en la seguridad de las redes de información que comprometan la confidencialidad de sus datos personales. Sólo si hay una investigación que pueda ser entorpecida por esta notificación puede pararse el proceso de información.

Normativa extraterritorial

La globalización de las actividades financieras y el peso económico de este Estado ha empujado los límites de la extraterritorialidad de esta ley, porque es aplicable a cualquier negocio independientemente de donde esté localizado. Esta ley ha ayudado a que pérdidas de datos de otras empresas se hayan hecho públicas. Cuando esta ley era un proyecto, mucha empresas criticaron aduciendo que se asustaba innecesariamente a los clientes por quiebras de seguridad que no tenían por qué acabar en pérdidas o robos de identidad.

Las críticas que se oyeron entonces se repiten ahora a nivel federal porque se acumulan propuestas de ley similares para estandarizar procedimientos en estos casos, y obligar a que las entidades notifiquen inmediatamente los problemas a los clientes. El trámite de estas iniciativas está siendo animado por el caso de CardSystems, pero también por los recientes extravíos de datos en Citigroup y Time Warner, entre otros.

Se espera que se llegue a legislar sobre la obligatoriedad de cierto tipo de notificación aunque se cuenta ya con que haya disputas de hasta dónde se debe llegar. La banca teme que si se oyen las demandas de las asociaciones de consumidores, que ahora demandan más transparencia e inmediatez, se producirán avisos indebidos y que la reiteración termine relajando los efectos de las alertas.

En el caso de la banca, ésta está satisfecha con una disposición de marzo que les da discreción a la hora de juzgar si el riesgo debe ser notificado al cliente.

Tras el problema detectado en CardSystems, pocos bancos han dicho que vayan a cancelar cuentas, emitir nuevas tarjetas, o alertar a los titulares cuyos datos estén entre los comprometidos. Medidas que tendrían un elevado coste.

Entidades como JPMorgan Chase y Citigroup confirman que no están alertando a sus clientes automáticamente, pero sí vigilan de cerca las cuentas que puedan haberse visto afectadas. De momento aseguran que no ha habido movimientos extraños y, ante los clientes, minimizan los efectos de la alerta.

Medidas para luchar contra el fraude en tarjetas

El agujero en la seguridad de la red de CreditSystem están probando en público la capacidad de la banca para luchar contra el fraude en los medios de pago en EE UU, un país donde los delitos relacionados con la sustracción de datos y robo de identidad son los que mayor crecimiento han registrado en los últimos años, según el FBI.

Poco después de conocerse el problema en este intermediario de pagos, CardSystems admitió su culpa diciendo que había almacenado indebidamente información.

Avivah Litan, de la consultora Gartner, declaró a la agencia AP que 'muchas entidades no han sido cuidadosas a la hora de vigilarles', refiriéndose a los procesadores de pagos.

Litan asegura que, aunque la vigilancia se ha reforzado, ésta ha sido vaga y ha habido otras quiebras de seguridad antes que no se conocen porque no se han comunicado.

Mastercard confirmaba la semana pasada que siguen trabajando con CreditSystem, que ya han solucionado los problemas y que no se ha detectado ninguna actividad fraudulenta. Esta empresa, que ha sido la que dio la voz de alarma, ha comunicado que ha elevado su vigilancia pero no ha detectado ninguna acción fraudulenta hasta ahora.

Los intermediarios pueden ser el eslabón más débil de la cadena. Pero las entidades financieras han mejorado su seguridad interna con sofisticados sistemas informáticos, para prevenir y bloquear gastos, y aseguran que se ha rebajado el fraude. Según informó recientemente The Wall Street Journal, haciéndose eco del informe Nilsen, lo que pierden los emisores de tarjetas por fraude (los clientes no tienen responsabilidad) se elevó a 882,5 millones de dólares el año pasado, frente a los 788,3 millones contabilizados durante el año 2003.