La compañía de financiamiento colectivo sufrió un incidente de seguridad de la información en junio de 2020. “No hubo ninguna afectación de ningún tipo a ningún cliente. A nadie le pudieron entrar a su cuenta”.
Todos los clientes de la plataforma de préstamos YoTePresto se vieron afectados por un ataque cibernético que dejó expuestos nombres de cuentas de correo y contraseñas encriptadas. La cuenta de correo es la llave de acceso de los clientes de YoTePresto, con la que se dan de alta para solicitar un crédito de financiamiento colectivo. Ahora esos registros se encuentran a la venta en foros de hackers, según el sitio de noticias de ciberseguridad BleepingComputer.
El incidente de seguridad de la información de YoTePresto ocurrió el 21 de junio de 2020, cuando los sistemas informáticos de la compañía registraron accesos no autorizados que tuvieron a su disposición 1.4 millones de registros con los correos electrónicos y contraseñas de todos los clientes de YoTePresto.
La brecha de seguridad fue detectada “a primera hora” del lunes 22 de junio; los ingenieros de YoTePresto corrigieron la falla de inmediato y la compañía notificó a sus usuarios y a la autoridad bancaria. “No hubo ninguna afectación de ningún tipo a ningún cliente. A nadie le pudieron entrar a su cuenta, tomar la información ni mucho menos, porque para poder hacer cualquier transacción todas las operaciones tienen que ser validadas con un método de doble autenticación”.
Aseguró que en el incidente no hubo datos personales involucrados y por eso no se requirió la intervención del Inai, la autoridad de protección de datos personales. “En ningún momento ningún dato sensible ni personal fue vulnerado, que es normalmente donde entra el Inai, pero como no se reveló ningún nombre, domicilio, teléfono, dato, INE, documento de trabajo, ingreso, sexo, religión, nada de datos personales: fue literal un correo y la contraseña encriptada y nada más”.
Los datos personales, dice la ley federal en la materia, son “cualquier información concerniente a una persona física identificada o identificable”. La cuenta de correo puede considerarse dato personal en la medida en que los caracteres que la componen puedan asociarse con una persona física. Si la cuenta de correo dice el nombre de su titular, indefectiblemente es un dato personal.
El Inai, autoridad para imponer criterios en materia de protección de datos personales, ha resuelto que las cuentas de correo electrónico pueden asimilarse al número de teléfono móvil o al domicilio particular de una persona física (RRA 1024/16 y RRA 5719/173). En materia mercantil y penal, el correo electrónico es un elemento probatorio aceptado por jueces y tribunales.
YoTePresto, que se encuentra a la espera de su autorización para operar como compañía de tecnología financiera (fintech) regulada, no está obligada a notificar al Inai sobre incidentes de seguridad de la información que dejen expuestos los datos personales que gestiona. En 2019, tras la filtración de datos personales que protagonizó la empresa de consultoría de negocios KPMG, el comisionado presidente del Inai, Francisco Javier Acuña, urgió al Poder Legislativo a reformar la ley para obligar a los privados a notificar a la autoridad, “para que no estemos como pasa ahora, que nos tenemos que enterar por los medios de comunicación”.
Créditos: El economista
