Estudio de Casos Acceso a Información Confidencial

María Virginia Ruiz

Juan Pablo Roca
Karla Gutiérrez
Michelle Peña
Fabiola Vargas
Fernando Perez

Docente: Phd Olga González

Master Business Administration

Modulo: Ética en los Negocios
South Florida International College

Miami, Florida
19 noviembre 2022
 Resumen

A través del estudio de 6 casos relacionados con el manejo de información, el presente ensayo dará

las aproximaciones a los errores y posibles soluciones a los problemas generados por el incorrecto

manejo de información confidencial y sensible al interior de las empresas.

 Introducción.

En la actualidad la gestión de la información dentro de las organizaciones es una de sus

principales preocupaciones. La más importante es la de carácter confidencial que si bien se

pueden adoptar diversas políticas internas de restricción, hay varias maneras de vulnerar las

mismas.

En este sentido la protección de la información confidencial y/o sensible es un activo

importante para las empresas, caso contrario podría llevar al desgaste y destrucción del negocio.

Así lo precisa (Berciano, 2022) “Aquella información, así definida por su propietario, cuya

revelación, alteración, pérdida o destrucción puede producir daños importantes a la organización

propietaria de la misma”.

En el presente ensayo describiremos seis casos de empresas cuya información

confidencial y/o sensible fue quebrantada y concluiremos, en cada uno de ellos, aportando una

opinión de cómo podrían proteger su información.

Desarrollo de Casos.

Caso 1: Ataque de Tipo Ransomware en un Hospital de Puerto Rico Afecta a Casi

1,200,000 pacientes.

Antecedentes y Descripción del Caso.

Doctors Center Hospital en Puerto Rico, ha notificado recientemente al Departamento de

Salud y Servicio Humano por los Derechos Civiles (OCR) en los EEUU; que han experimentado

un incidente de hackeo, en el cual la información de salud de 1,195,220 pacientes ha sido

potencialmente comprometida.
Conclusión.

Debido al surgimiento de nuevas tecnologías, en la que lo electrónico fue suplantando al

papel, el acceso a la información médica de los pacientes entre los diferentes usuarios de la salud

ha brindado la oportunidad de maximizar la calidad y la eficiencia en el cuidado del mismo, pero

de igual forma, ha multiplicado el riesgo a la exposición de este tipo de crimen.

Formas comunes de hacer este tipo de evento posible, es al visitar un sitio web malicioso,

abrir un archivo infectado, descargar un software viciado, etc., ya sea de manera intencional o

simplemente por negligencia de cualquier persona que rompa las normas de seguridad, en un

centro de salud.

Una manera de minimizar este tipo de problema, sería implementando evaluaciones

continuas (deben hacerse anuales), donde se puedan identificar puntos vulnerables de riesgo y se

adopten las medidas necesarias que ayuden a prevenir cualquier atentado a la integridad de la

información del paciente, en violación a la Ley federal de Health Insurance Portability and

Accountability Act de 1996 (HIPAA, 2022)1 que crea los estándares que protegen la información

de salud del paciente y su derecho de privacidad.

Caso 2: Vulneración de Datos a la Empresa Equifax

Antecedentes y Descripción del Caso.

Equifax es una de las tres grandes agencias de crédito, junto con Experian y TransUnion.

Esta empresa recopila y almacena varios tipos de información sobre una persona, su historial y

1
La Health Insurance Portability and Accountability Act of 1996 (HIPAA) es una ley federal que establece
normas acerca de quiénes pueden ver y recibir información sobre su salud. Esta ley le da derechos con respecto a
la información sobre su salud y sobre cuándo puede compartirse dicha información.
cuentas financieras, para crear sus informes de crédito, que a su vez forman la base de su puntaje

crediticio. (kredit karma, 2022)

En septiembre de 2017, Equifax tuvo conocimiento de una importante infracción de

seguridad, que podría afectar a unos 145 millones de consumidores estadounidenses y a muchos

más en todo el mundo. Los datos robados incluían nombres, números de seguro social, fechas de

nacimiento y direcciones, información que normalmente utilizan los bancos y otras instituciones

financieras para confirmar las identidades. Muchos de los consumidores que se vieron afectados

por la infracción podrían convertirse en víctimas de robo de identidad en el futuro, lo que la

convierte en una de las infracciones más graves de datos personales de los últimos años.

Conclusiones.

Equifax cayó víctima del hacking y sufrió una vulneración de datos. Sin embargo, no llegó

a reconocer su error e intencionalmente intentó esconder el hecho. En vez de notificar al

consumidor inmediatamente que su información personal podría haber sido comprometida, los

líderes de la empresa demoraron seis semanas en notificar al público. Para evitar los daños a su

reputación, al no reconocer sus errores, agravó los problemas de la empresa. Lo que motiva esta

reacción defensiva es el temor asociado a la pérdida de su estatus, reputación, y las pérdidas

financieras.

Equifax debió reforzar su seguridad, fragmentando y encriptando todos los datos que

obtenía, además debió comunicar con celeridad a todos sus usuarios, puesto que involucraba

información personal identificable.

Caso 3: Culpable, Exjefe de Seguridad de Uber por Encubrir Filtración Masiva de Datos.

Antecedentes y Descripción del Caso.

Joe Sullivan, exjefe de seguridad de Uber, fue declarado culpable por haber ocultado un

ciberataque que afectó la información personal de 57 millones de usuarios y 7 millones de

conductores de la plataforma de UBER en 2016. (DPL News, 2016)

El problema fue un ataque de ransomware que se originó en la plataforma, donde los

atacantes encontraron credenciales que le daban acceso al almacenamiento de Uber en Amazon

Web Services. La información que fue robada incluía nombres, direcciones de correo electrónico,

números telefónicos de los usuarios y de los choferes, así como los números de licencias para

conducir de 600,000 conductores.

Conclusiones.

“El único enfoque de Sullivan, en este incidente y a lo largo de su distinguida carrera, ha

sido garantizar la seguridad de los datos de las personas en internet”. Sin embargo, por este caso,

Sullivan podría enfrentar hasta ocho años de prisión.

El CEO de Uber, llegó a un acuerdo con la Federación de Comercio para establecer un programa

de privacidad durante los próximos 20 años, además de reportar cualquier incidente relacionado

con “la intrusión no autorizada en la información de los usuarios”.

Caso No. 4: Fuga de Datos en Coca Cola que ha Afectado a 8.000 Empleados.

Antecedentes y Descripción del Caso.

En el año 2017 la compañía de refrescos Coca Cola reconoció haber sufrido una brecha de

datos que comprometió los datos de 8.000 trabajadores El origen está en un exempleado de una

las subsidiarias que robó un disco duro externo.

Conclusiones.

Las empresas tienen la obligación de proteger los datos de sus empleados, incluso en la

fase previa de contratación y posterior a la desvinculación.

Coca Cola nunca debería haber manejado datos internos en un disco duro sin protección,

su política de protección de datos debería haber sido: un solo administrador responsable, los datos

deberían estar cifrados, en el caso de uso y reciclaje de información mediante un disco duro se

debería eliminar la información de tal forma que no pueda ser recuperada y el medio debe ser

destruido, contrato laboral con mayor protección en el uso de información confidencial.

Se entiende que las mayores filtraciones de información suceden de manera interna siendo

importante realizar un análisis de riesgos de protección de datos o una evaluación de impacto.

Caso No. 5: Monetización de Datos de Usuarios Twitter.

Antecedentes y Descripción del Caso.

El Departamento de Justicia (DOJ)2 y la Comisión Federal de Comercio (FTC)3 han

acusado a la red social de haber recopilado información de sus usuarios, como números telefónicos

y direcciones de correo electrónico, y permitir a los anunciantes utilizarla para monetizar sus

servicios. Según FTC “Twitter solicitó información personal a los usuarios con el propósito

expreso de proteger sus cuentas, pero también la utilizó después para publicar anuncios dirigidos

y obtener un beneficio financiero”

(Department of Justice, 2022) Twitter afirmó falsamente que cumplía con los acuerdos de

privacidad, que prohíben que las empresas procesen la información de los usuarios de manera

contraria a los fines autorizados por ellos. La sanción fue de 150 millones de dólares y las nuevas

medidas de cumplimiento requeridas en virtud del acuerdo deben ser aprobadas por un tribunal

federal de California.

Conclusiones.

Por parte de Twitter se debe implementar un programa integral de privacidad y seguridad

de datos para proteger los datos de los usuarios, debe revelar por qué y cómo recolecta, comparte

y usa la información personal.

2
El Departamento de Justicia es responsable de hacer cumplir las leyes de Estados Unidos, defender los
intereses de Estados Unidos, administrar la justicia y controlar el delito. Definición obtenida de:
https://www.usa.gov/espanol/agencias-federales/departamento-de-justicia
3
La FTC es la agencia de protección al consumidor de la nación. Su misión es proteger a las personas de
prácticas engañosas y fraudulentas, y promover la competencia. Definición obtenida de: https://www.ftc.gov/es
 Por desconocimiento o por despiste dejamos rastros de información en la red, al alcance de

hackers, compañías, que lucran con esta información que puede ser frenada con medidas como uso

cuentas de correo alternativas, cambiar las opciones de privacidad, contraseñas seguras.

Caso No. 6: Cambridge Analytica y Facebook.

Antecedentes y Descripción del Caso.

2018 fue un año en el cual se marcó un antes y un después para la compañía Facebook, fue

en esta gestión donde se desataron las denuncias por robo de información y todo apuntaba

directamente a la compañía y a su creador Mark Zuckerberg, ya que, Facebook entregó la

información privada de muchos usuarios a otras empresas.

En 2018 se destapó el famoso caso Cambridge Analytica, una firma británica, que tal como

menciona BBC mundo “se hizo con datos de los usuarios de la red social para utilizarlos luego en

campañas de marketing político y afectó en realidad a 87 millones de perfiles”. (BBC Mundo,

2018).

Como resultado, según Zuckerberg, la información del perfil público de muchas personas

había sido recopilada para hacerla corresponder con los detalles de contacto que se habían obtenido

por terceras partes. Otro ejecutivo de Facebook, Mike Schroepfer, reconoció este miércoles que el

número de usuarios afectados por el escándalo de la firma británica Cambridge Analytica es de 87

millones, lo que representaría, en términos prácticos, casi el doble de la población de un país como

Argentina.

Por eso, la empresa de Zuckerberg asegura que jamás se vulneró su seguridad: "Los

usuarios cedieron su información; no hubo infiltración en los sistemas y no hubo robo de

contraseñas ni de información sensible", dijo un portavoz. (BBC Mundo, 2018)

Conclusiones.

En conclusión, la empresa de Zuckerberg asegura que jamás se vulneró su seguridad: "Los

usuarios cedieron su información; no hubo infiltración en los sistemas y no hubo robo de

contraseñas ni de información sensible", dijo un portavoz. (BBC Mundo, 2018), Mientras que

Cambridge Analytica, aseguró haber borrado la información obtenida.

Sin embargo, ambas empresas incurrieron en una fuerte violación a la privacidad de los

usuarios, en primer lugar, Facebook debería garantizar que la información compartida por los

usuarios en esta red social tiene un carácter privado, gracias a estas políticas de privacidad dicha

empresa a la fecha continua con diversos escándalos.

Referencias Citadas

BBC Mundo. (20 de Marzo de 2018). BBC News Mundo. Obtenido de

https://www.bbc.com/mundo/noticias-43472797

Berciano, J. (29 de 11 de 2022). Red Seguridad. Obtenido de

https://www.redseguridad.com/especialidades-tic/proteccion-de-datos

Department of Justice. (25 de 05 de 2022). Twitter Agrees with DOJ and FTC to Pay $150 Million Civil

Penalty and to Implement Comprehensive Compliance Program to Resolve Alleged Data Privacy

Violations. Obtenido de Department of Justice: https://www.justice.gov/opa/pr/twitter-agrees-

doj-and-ftc-pay-150-million-civil-penalty-and-implement-comprehensive

DPL News. (7 de Octubre de 2016). DPL News. Obtenido de https://dplnews.com/exjefe-de-seguridad-

de-uber-es-declarado-culpable-por-ocultar-hackeo-de-2016/
kredit karma. (28 de Julio de 2022). kredit karma. Obtenido de

https://www.creditkarma.com/es/tarjetas-de-credito/i/tres-agencias-de-

credito#:~:text=Equifax%2C%20Experian%20y%20TransUnion%20son,para%20sus%20puntajes

%20de%20cr%C3%A9dito.