Schneiderman Anuncia Un Número Récord Violaciones De Datos Para 2016; Emite Nuevo Reporte

Piratería cibernética aumenta violaciones de datos hasta en un 60%, exponiendo a 1,6 millones de neoyorquinos
Schneiderman: Depende de todos nosotros - las empresas y los ciudadanos por igual - protegernos contra las exposiciones de datos peligrosas que tienen la capacidad de socavar nuestra salud financiera y bienestar

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy que su oficina recibió un número récord de avisos de violación de datos en 2016. Cerca de 1.300 infracciones de datos reportadas expusieron los registros personales de 1,6 millones de neoyorquinos. Un análisis realizado por la Fiscalía General reveló que la información expuesta constaba en su mayoría de números de seguridad social e información de cuentas financieras y supuso que la piratería informática y la divulgación involuntaria eran las dos principales causas de violaciones de seguridad de datos.

"En 2016, los neoyorquinos fueron víctimas de una de las tasas de exposición de datos más altas en la historia de nuestro estado", dijo el Fiscal General Schneiderman. "El número total anual de infracciones de seguridad de datos aumentó en un 60% y el número de expedientes personales expuestos se triplicó. El robo de datos es cada vez más frecuente - por lo que es aún más importante para las empresas y los ciudadanos por igual tomar precaución al compartir y almacenar datos personales. Depende de todos nosotros protegernos de aquellos que tratan de usar nuestra información personal para perjudicar - ya que estas violaciones a menudo ponen en peligro la salud financiera de los neoyorquinos y cuestan a los sectores público y privado miles de millones de dólares".

La Oficina del Fiscal General comenzó a recolectar información sobre la exposición de datos personales en 2005, después de que el § 899-aa fue agregado a la Ley de Negocios del Estado de Nueva York, exigiendo a las empresas reportar todas las infracciones de seguridad de sus sistemas informáticos oportunamente. El reporte publicado hoy se basa en el informe de la Fiscalía General de 2014 titulado "Información expuesta: examen histórico de seguridad de datos en el estado de Nueva York", que analizó ocho años de violación de seguridad de datos y cómo impactó a los neoyorquinos.

La negligencia y la piratería continúan como principales causas de violaciones de datos

En 2016, la piratería informática representó más del 40% de las infracciones de seguridad de datos. 519 notificaciones informaron de acceso no autorizado de datos informáticos (ver Figuras 1 y 2). En el informe de la Fiscalía General de 2014, la piratería representó de manera similar la causa principal de todas las infracciones de datos de 2006 a 2013. Sin embargo, el pasado año, la negligencia de los empleados, que consiste en una combinación de exposición inadvertida de registros, infracciones internas y pérdida de un dispositivo o medios de comunicación, casi igualo la piratería representando aproximadamente el 37% de las violaciones.

Figura 1: Causa de infracción de seguridad de datos (Gráfico)

Figure 1

Figura 2: Causa de incumplimiento de seguridad de datos (Tabla)

 Figura 2

Seguro Social y la información financiera como objetivos primarios

La información más frecuentemente adquirida en el año 2016 fueron los números del Seguro Social y la información de cuentas financieras, que en conjunto representaron el 81% de las infracciones en Nueva York. Otros registros como números de licencia de conducir (8%), fecha de nacimiento (7%) y contraseña / información de cuenta (2%) (ver Figura 4) representaron en conjunto 1.284.037 registros personales expuestos en 2016.

Figura 3: Tipo de Información Adquirida (Gráfico)

 Figure 3 

Figura 4: Tipo de Información Adquirida (Tabla)
 Figura 4

Grandes casos de infracciones en 2016

Si bien en el año 2016 se registró un aumento del 59% en el número total de infracciones notificadas, sólo se registraron dos mega-infracciones entre ellas. Comparativamente, se reportaron 28 mega-infracciones a la Fiscalía General entre 2006 y 2013. El 12 de octubre de 2016, Newkirk Products, Inc., un socio comercial de Capital District Physicians 'Health Plan, Inc., CDPHP Universal Benefits, Inc., y Capital District Physicians 'Healthcare Network, Inc., informó de la exposición de la información personal de salud de 761.782 neoyorquinos. La siguiente infracción más grande, reportada el 13 de enero de 2016, fue en el banco HSBC. Expuso la información financiera, personal y de seguridad social de 251,201 neoyorquinos. Además, las infracciones en Eddie Bauer y Emblem Health afectaron 60.205 y 55.664 neoyorquinos en agosto y noviembre, respectivamente. No es sorprendente que estas infracciones tuvieran un impacto sustancial en el número total de residentes de Nueva York afectados durante esos meses (ver Figura 5). El número de neoyorquinos afectados disminuyó constantemente en los meses que siguieron.

Figura 5: Total de residentes afectados y totales de afectados por las infracciones reportadas en 2016 (Tabla)

Figura 5 

Figura 6: Infracciones reportadas por residentes de NY para 2016 infracciones (Gráfico)

 Figure 6 

Los retrasos promedio en la notificación permanecen constantes durante 2016 Como parte de la Sección § 899-aa de la Ley General de Negocios de Nueva York, las entidades que experimenten violación de datos deben notificar a la Fiscalía  General, entre otras entidades, y a los individuos inmediatamente afectados, sin demora irrazonable. Las entidades que sufrieron una violación presentaron el mayor retraso en la notificación en marzo. Mientras que la diferencia en el tiempo más corto y más largo para que las entidades notifiquen a la Fiscalía General y los consumidores es extrema, entre un día y varios meses, los retrasos promedio disminuyeron a lo largo del año.

Todas las organizaciones están en riesgo

Ninguna organización está exenta del riesgo de una violación de datos. La exposición de los datos puede ocurrir en pequeñas empresas familiares, agencias gubernamentales y grandes corporaciones multinacionales.

La oficina del Fiscal General recomienda que las organizaciones sigan estos sencillos pasos para ayudar a proteger la información personal confidencial contra las exposiciones no autorizadas.

  • Entender dónde está su negocio: El primer paso hacia una política de seguridad de datos eficaz es entender qué información requiere su negocio para su funcionamiento, qué datos ya han sido recopilados y almacenados, cuánto tiempo se necesitan los datos y qué pasos se han tomado para garantizar la seguridad. Las organizaciones deberían revisar la forma en que se adquieren los datos confidenciales, cómo se comparte la información confidencial con terceros y cuáles son los controles de acceso que existen.
  • Identificar y minimizar las prácticas de recolección de datos: En pocas palabras, los datos que no existen no pueden ser robados o perdidos. Recopile sólo la información que necesita, guárdela sólo por el tiempo mínimo que necesita e implemente tácticas de minimización de datos siempre que sea posible. Por ejemplo, si su empresa utiliza un sistema de punto de venta, asegúrese de que las fechas de caducidad no se almacenan con números de tarjeta de crédito. Reduzca el uso de puntos de datos altamente sensibles, como los números de Seguro Social, a menos que sea absolutamente necesario, y minimice la duración de la retención de dichos datos. Elimine cualquier información que ya no necesite.
  • Crear un plan de seguridad de la información que incluya cifrado: Crear un plan integral de seguridad de la información es un esfuerzo complejo pero necesario. Los estudios demuestran que las entidades con un plan eficaz articularán no sólo los estándares técnicos, sino que incorporarán capacitación, concienciación y pasos procesales detallados en caso de incumplimientos de los datos. Lea más sobre lo que debe incluir un plan de seguridad integral en el informe.
  • Implementar un Plan de Seguridad de la Información: La implementación exitosa de un plan cuidadosamente diseñado puede ser una de las maneras más efectivas de minimizar el riesgo de una violación de datos. Los elementos a tener en cuenta al implementar un plan incluyen asegurar que los empleados son conscientes del plan y realizar revisiones regulares para asegurar que el plan continúe ajustándose a las mejores prácticas en evolución.
  • Tomar medidas inmediatas en caso de infracción: Recuerde investigar todos los incidentes de seguridad inmediatamente y completamente. En el caso de una violación, la ley puede requerir que usted notifique a los consumidores, agencias de la ley, las oficinas del Fiscal General, oficinas de crédito y otros negocios.
  • Ofrecer productos de mitigación en caso de infracción: Aunque no sea requerido por ley, los neoyorquinos afectados por una violación de datos deben recibir servicios de mitigación de forma gratuita. Estos incluyen el monitoreo de crédito, que proporciona alertas, por lo general por correo electrónico, cada vez que una solicitud de nuevo crédito se presenta a una agencia de informes de crédito al consumidor, y una congelación de seguridad, que bloquea nuevas cuentas de crédito. El costo de aclarar las consecuencias del robo de identidad puede llegar fácilmente a los miles de dólares y pueden requerir cientos de horas de atención a asuntos administrativos.

La Fiscalía General sugiere que los consumidores se protejan contra las amenazas de las siguientes maneras:

  • Crear contraseñas seguras para las cuentas en línea y actualizarlas con frecuencia. Utilice contraseñas diferentes para diferentes cuentas, especialmente para sitios web donde haya difundido información confidencial, como números de tarjeta de crédito o de Seguro Social.
  • Monitoree cuidadosamente las declaraciones de tarjeta de crédito y de tarjeta de débito cada mes. Si encuentra alguna transacción anormal, comuníquese de inmediato con su banco o agencia de tarjetas de crédito.
  • No anote o almacene las contraseñas electrónicamente. Si lo hace, sea extremadamente cuidadoso de donde almacena contraseñas. Tenga en cuenta que cualquier contraseña almacenada electrónicamente (como en un documento de procesamiento de texto o en el bloc de notas del teléfono celular) puede ser fácilmente robada y proporcionar a los estafadores una ventanilla única para toda su información confidencial. Si escribe manualmente contraseñas, no las guarde a la vista.
  • No Publique ninguna Información sensible en los Medios Sociales. La información tal como cumpleaños, direcciones, y números de teléfono pueden ser utilizados por los defraudadores para autenticar la información de la cuenta. Practicar técnicas de minimización de datos. No sobrepasarse compartiendo datos.
  • Siempre tenga en cuenta el panorama de amenazas actual. Manténgase al día sobre los informes de los medios de comunicación sobre infracciones de seguridad de datos y avisos a los consumidores.

La oficina del Fiscal General recomienda tomar las siguientes medidas si cree que ha sido víctima de una infracción de la seguridad de los datos:

  • Nombres de usuario y contraseñas: Para nombres de usuario y contraseñas, cámbielos inmediatamente en la cuenta correspondiente y supervise la actividad inhabitual de la cuenta. Si utiliza el mismo nombre de usuario o contraseña en otras cuentas, cámbielos también.
  • Números de tarjetas de crédito: Para infracciones que involucren números de tarjetas de crédito, números de Seguro Social y otros números confidenciales, cree un reporte de robo de identidad presentando una queja ante la Comisión Federal de Comercio e imprimiendo su Declaración Jurada de Robo de Identidad. Puede llamar a la Comisión Federal de Comercio (FTC) al 1-877-438-4338 o llenar el formulario en línea aquí. Use la Declaración Jurada de Robo de Identidad para presentar un reporte policial y crear su Informe de Robo de Identidad. Un informe de robo de identidad le ayudará a lidiar con las compañías de informes de crédito, cobradores de deudas y cualquier cuenta fraudulenta que el ladrón de identidad abrió a su nombre. Es posible que también desee poner una alerta de fraude y / o congelación de seguridad en su informe de crédito notificando a cada una de las agencias de informes de crédito (Equifax, TransUnion y Experian). Una congelación de seguridad permanece en su archivo de crédito hasta que lo elimine o elija levantarlo temporalmente al solicitar servicios de crédito.

Información de contacto para las agencias de reportes de crédito:

Equifax 1-800-525-6285 

Experian 1-888-397-3742 

TransUnion 1-800-680-7289