Schneiderman Anuncia Número Record De Notificaciones De Violación De Datos Para 2017

La piratería cibernética, conocida como “hacking”, continúa impulsando una explosión de violaciones de datos; 2017 vio la exposición de los datos personales de 9.2 millones de neoyorquinos: cuadruplica el número de 2016

Schneiderman presentará una legislación para exigir a las empresas como Facebook que notifiquen si se utiliza incorrectamente la información personal de los usuarios; el Fiscal General también pide a Albany aprobar su proyecto de ley SHIELD

El Fiscal General ofrece consejos para que los consumidores y las empresas de Nueva York se protejan

NUEVA YORK - El Fiscal General Eric T. Schneiderman publicó hoy su reporte "Información expuesta: Violaciones de datos en el Estado de Nueva York en 2017", documentando el número récord de notificaciones de violación de datos presentadas en su oficina en 2017. En 2017, las empresas y otras entidades informaron de 1.583 violaciones de datos a la Fiscalía General, exponiendo los datos personales de 9.2 millones de neoyorquinos, cuadruplicando el número de neoyorquinos afectados en 2016.

El Fiscal General Schneiderman anunció que presentaría una legislación para exigir a Facebook y otros sitios de redes sociales que notifiquen a su oficina y a los consumidores de Nueva York que los datos personales de los usuarios se obtuvieron y se usaron incorrectamente en violación de la ley o los términos de servicio de la plataforma.

El Fiscal General Schneiderman también instó a la legislatura estatal a aprobar su Ley Stop Hacks and Improve Electronic Security (SHIELD Act), que fue presentada por el Fiscal General Schneiderman el otoño pasado y cerraría las principales lagunas en las leyes de seguridad de datos de Nueva York. Bajo la Ley SHIELD, las empresas tendrían la responsabilidad legal de adoptar salvaguardas administrativas, técnicas y físicas "razonables" para los datos confidenciales; el proyecto de ley también expandiría los tipos de violación de datos que requerirían ser reportados.

"Las infracciones de datos pueden causar crisis personales para los neoyorquinos cada vez que ocurren, como reducir las calificaciones crediticias y destruir vidas financieramente", dijo el Fiscal General Schneiderman. "Vimos una cantidad récord de violaciones de datos en 2017, poniendo en peligro la información personal de 9.2 millones de neoyorquinos. Mi oficina continuará haciendo rendir cuentas a las compañías por proteger la información personal que administran, pero también es hora de que Albany traiga nuestras leyes al siglo XXI y garantice que los neoyorquinos no sean víctimas innecesariamente de la seguridad de datos débiles y piratas informáticos criminales".

Como se detalla en el reporte dado a conocer hoy, la información expuesta de los neoyorquinos consistió abrumadoramente en números de seguridad social, que representan el 40% de los registros expuestos, seguidos de información de la cuenta financiera (como números de tarjetas de crédito), que representan el 33% de los registros expuestos. La piratería (hacking) fue la causa principal de las infracciones de seguridad de datos en un 44%, con otro 25% de incumplimientos debido a negligencia. En 2017, aumentamos más del 23% en el número total de infracciones de seguridad reportadas que afectaron a los residentes de Nueva York el año anterior, y la cantidad de neoyorquinos que tuvieron sus registros expuestos más que se cuadriplicó desde 2016, aumentando en 7,691,025, en gran parte debido a la violación de Equifax. En 2017, la tasa de exposición de la información personal de los neoyorquinos fue la más alta desde que la Fiscalía General comenzó a recibir avisos de violaciones de datos en 2006.

Ley General de Negocios § 899-aa

En 2005, se agregó la Ley General de Negocios § 899-aa a la Ley de Negocios del Estado de Nueva York que exige a cualquier persona o entidad comercial que realice negocios en el Estado de Nueva York que informe una violación de seguridad de datos que involucre "información privada" a la Fiscalía General, entre otras agencias estatales. La Ley de Tecnología del Estado § 208 también requiere que las entidades gubernamentales reportar infracciones de información privada. La "información privada" se define como la inclusión del nombre de un consumidor en combinación con un número de seguro social, información de cuenta financiera o número de licencia de conducir. Los informes deben ser oportunos y hacerse sin demoras irrazonables. 

La piratería y la negligencia continúan como principales causas de incumplimiento de datos

En 2017, la piratería informática representó más del 44% de las infracciones de seguridad de datos, un 40% más que en el año anterior. Representó el 94% de la información personal total expuesta, en gran parte como resultado de la mega infracción en la agencia de informes crediticios Equifax. (Ver Figuras 1 y 2.) La negligencia de empleado, que consiste en una combinación de exposición inadvertida de registros, fechoría interna y la pérdida de un dispositivo o equipo, representó el 25% de las infracciones reportadas. 

Los números de seguridad social y la información de cuentas financieras son los objetivos primarios de los hackers

Los números de seguridad social y la información de cuentas financieras representaron la información más frecuentemente expuesta en 2017, lo que representó el 73% de las infracciones. Los números de seguridad social estuvieron expuestos en el 40% de las infracciones reportadas y la información de la cuenta financiera representó el 33% del total de las violaciones en 2017. (Ver Figuras 3 y 4.) Aunque los porcentajes para las otras categorías de información expuesta no son tan altos, algunos aún representan un porcentaje considerable de los registros personales totales expuestos; por ejemplo, los números de licencia de conducir figuraban en el 9% de las infracciones reportadas. (Ver figura 4).

Dos mega-infracciones en 2017

Hubo dos mega infracciones (una infracción que afectó a más de 100,000 neoyorquinos) en 2017. Lo más notable es la violación en la agencia de informes crediticios Equifax, que comprometió los números de seguridad social de más de 145 millones de personas en los Estados Unidos, incluyendo 8.447.840 en Nueva York. Los intrusos accedieron al sistema informático Equifax una vez que la empresa no parchó una vulnerabilidad conocida en su software de aplicación web. La siguiente violación más voluminosa fue en Gamestop, descubierta por la compañía el 18 de abril de 2017, en la que más de 111,000 neoyorquinos tuvieron su información financiera expuesta a los piratas informáticos. Además, más de 30,000 neoyorquinos tuvieron su información financiera expuesta después de grandes infracciones en la Escuela de Tráfico en Línea, la Cooperativa de Crédito Federal Polaca y Slavic, InterContinental Hotels Group y Spiraledge, Inc. Once infracciones más que comprometieron la información personal de entre 10,000 y 30,000 neoyorquinos notificadas en 2017. Después de eso, las violaciones más comunes comprometieron relativamente menos números de información personal de los neoyorquinos.

Otros casos de violación afectan a un pequeño número de consumidores

En 2017, la mayoría de las infracciones afectaron "solo" de una a nueve personas por infracción, y aproximadamente dos tercios de las infracciones afectaron a menos de 100 personas por infracción. En comparación con 2016, en 2017 hubo 55 infracciones más que afectaron solo un registro personal y 83 más que afectaron entre dos y diez registros personales. Por lo tanto, si bien el número récord de registros expuestos en 2017 fue el resultado de una gran mega infracción en una empresa multinacional (es decir, Equifax), está claro que las infracciones son de todos los tamaños y ninguna organización está exenta del riesgo de una violación de datos.

Este informe refleja las tendencias identificadas en los informes anteriores

En 2016, la Fiscalía General reportó un récord de 1.281 notificaciones de infracciones de datos, lo que representa un aumento del 60% con respecto al año del informe de 2015. Las infracciones de 2016 expusieron los registros personales de 1.6 millones de neoyorquinos, lo que representa un aumento de tres veces con respecto al año anterior. Las violaciones de 2017 superaron con creces las del año anterior. Hubo también un mayor número de infracciones que afectaron a cantidades menores de personas que en 2016. En 2014, la Fiscalía General emitió un informe completo titulado "Información expuesta: examen histórico de seguridad de datos en el estado de Nueva York". El informe de 2014 analizó los informes de violación de datos que la oficina recibió entre 2006 y 2013 y cómo impactaron a los neoyorquinos.

La Fiscalía General recomienda que las empresas y organizaciones sigan estos simples pasos para ayudar a proteger la información personal confidencial contra divulgaciones no autorizadas:

  • Comprenda dónde se encuentra su empresa: el primer paso hacia una política de seguridad de datos efectiva es comprender qué información requiere su negocio para su funcionamiento, qué datos ya se han recopilado y almacenado, durante cuánto tiempo se necesitan y qué medidas se han tomado para garantizar la seguridad. Las organizaciones deberían revisar cómo se adquieren los datos confidenciales, cómo se comparte la información confidencial con terceros y qué controles de acceso existen.
  • Identificar y minimizar las prácticas de recopilación de datos: en pocas palabras, los datos que no existen no pueden ser robados o perdidos. Reúna solo la información que necesita, almacénela solo por el tiempo mínimo que la necesita e implemente tácticas de minimización de datos siempre que sea posible. Por ejemplo, si su empresa utiliza un sistema de “puntos” en sus ventas, asegúrese de que las fechas de vencimiento no se almacenen con números de tarjetas de crédito. Reduzca el uso de datos altamente confidenciales, como los números de la seguridad social, a menos que sea absolutamente necesario, y minimice la duración de la retención de dichos datos. Elimine cualquier información que ya no necesite.
  • Cree un plan de seguridad de la información que incluya encriptación:Crear un plan de seguridad de la información integral es una tarea necesaria. Los estudios demuestran que las entidades con un plan eficaz articularán no solo los estándares técnicos, sino que incorporarán capacitación, conocimiento y pasos detallados de procedimiento en caso de violaciones de datos. El cifrado de información confidencial debe ser un elemento de cualquier plan. Lea más sobre lo que debe incluir un plan de seguridad integral en el reporte de 2014 de la Fiscalía General.
  • Implementar un Plan de seguridad de la información: la implementación exitosa de un plan diseñado cuidadosamente puede ser una de las maneras más efectivas de minimizar el riesgo de una violación de datos. Los elementos a considerar cuando se implementa un plan incluyen asegurarse de que los empleados conozcan el plan y realicen revisiones periódicas para asegurarse de que el plan continúe adaptándose a las mejores prácticas en evolución.
  • Tomar medidas inmediatas en caso de incumplimiento: recuerde investigar todos los incidentes de seguridad de forma inmediata y exhaustiva. En caso de incumplimiento, la ley puede exigir que notifique a los consumidores, las autoridades policiales, las fiscalías generales del estado, las agencias de informes crediticios y otras empresas.
  • Ofrecer productos de mitigación en caso de incumplimiento: aunque no lo exija la ley, los neoyorquinos afectados por una violación de datos deben recibir servicios de mitigación de forma gratuita. Estos incluyen monitoreo de crédito, que proporciona alertas cada vez que se presenta una solicitud de crédito nueva a una agencia de informes crediticios del consumidor, y una congelación de seguridad, que bloquea nuevas cuentas de crédito. El costo de aclarar las consecuencias del robo de identidad puede fácilmente alcanzar los miles de dólares y requiere cientos de horas para atender los procesos administrativos.

La Fiscalía General sugiere que los consumidores eviten las amenazas de las siguientes maneras:

  • Cree contraseñas seguras para cuentas en línea y actualícelas con frecuencia. Use contraseñas diferentes para diferentes cuentas, especialmente para sitios web donde haya difundido información confidencial, como números de tarjetas de crédito o de seguridad social.
  • Monitoree cuidadosamente las declaraciones de tarjetas de crédito y tarjetas de débito cada mes. Si encuentra transacciones anormales, comuníquese de inmediato con su banco o agencia de tarjetas de crédito.
  • No anote ni almacene contraseñas electrónicamente. Si lo hace, tenga mucho cuidado con dónde almacena las contraseñas. Tenga en cuenta que las contraseñas almacenadas electrónicamente (como en un documento de procesamiento de textos o el bloc de notas del teléfono celular) pueden ser fácilmente sustraídas y proporcionar a los estafadores una ventanilla única para toda su información confidencial. Si escribe contraseñas a mano, no las almacene a plena vista.
  • No publique ninguna información confidencial en las redes sociales. Los estafadores pueden usar información como cumpleaños, direcciones y números de teléfono para autenticar la información de la cuenta. Practique técnicas de minimización de datos. No divulgue demasiado.
  • Siempre esté consciente del panorama actual de amenazas. Manténgase actualizado sobre los informes de los medios de violaciones a la seguridad de datos y avisos al consumidor.

La Oficina del Fiscal General recomienda tomar los siguientes pasos si cree que ha sido víctima de una violación de seguridad de datos:

  • Nombres de usuario y contraseñas: cambie los nombres de usuario y las contraseñas inmediatamente en la cuenta relevante y supervise la cuenta en busca de actividad inusual. Si usa el mismo nombre de usuario o contraseña en otras cuentas, cámbielos también.
  • Números de tarjeta de crédito: para infracciones que involucren números de tarjetas de crédito, números de seguro social y otros números confidenciales, cree un Informe de robo de identidad presentando una queja ante la Comisión Federal de Comercio e imprimiendo su Declaración Jurada de Robo de Identidad. Puede llamar a la Comisión Federal de Comercio al 1-877-438-4338 o completar el formulario en línea aquí. Use la Declaración Jurada de Robo de Identidad para presentar un informe policial y crear su Informe de robo de identidad. Un informe de robo de identidad lo ayudará a tratar con las compañías de informes de crédito, cobradores de deudas y cualquier cuenta fraudulenta que el ladrón de identidad haya abierto a su nombre. También puede poner una alerta de fraude y / o congelamiento de seguridad en su informe de crédito notificando a cada una de las agencias de informes de crédito (Equifax, TransUnion y Experian). Un congelamiento de seguridad es la protección más sólida para su crédito y permanece en su archivo de crédito hasta que lo elimine o elija levantarlo temporalmente al solicitar servicios de crédito.

"La cantidad de notificaciones de violaciones datos que recibió el Fiscal General el año pasado confirma que los neoyorquinos están en riesgo. Está claro que debemos actualizar nuestras leyes de seguridad de datos para proteger la información personal de las personas. Como presidente del Comité Senatorial de Protección al Consumidor, quiero agradecer al Fiscal General Schneiderman por educar al público sobre este importante tema, y seguiremos abogando por una legislación que mantenga a los neoyorquinos a salvo de las violaciones de datos", dijo el senador estatal David Carlucci.

"Las infracciones masivas de datos que afectaron a más de la mitad de todos los adultos neoyorquinos el año pasado sirven como un recordatorio permanente de que cualquiera de nosotros podría convertirse en víctima de robo de identidad en cualquier momento", dijo Laura J. Ehrich, Directora estatal asociada de AARP. Nueva York. "AARP aplaude al Fiscal General Schneiderman por seguir impulsando su legislación proactiva SHIELD ACT para proteger nuestra información personal de posibles ladrones que literalmente podrían arruinar nuestras vidas. Agradecemos al Senador Carlucci y al Asambleísta Titone por patrocinar este proyecto de ley. Ahora, como siempre, instamos a todos a aprovechar la Red de vigilancia contra el fraude de AARP para obtener información práctica y consejos sobre cómo protegerse".

"En estos tiempos de informes cada vez mayores de violaciones de datos y robo de identidad, es aún más importante estar atentos a su propia información personal y tomar medidas para salvaguardar su identidad", dijo Lynette Baker, Directora de Outreach & Marketing, Consumer Credit Counseling Servicios de Rochester.