Si has sido víctima de robo de identidad, sabes que tienes que actuar rápido para frenar a los delincuentes. Pero ¿qué pasa cuando meses o hasta años después de una filtración de datos te notifican que tu información fue comprometida? Te decimos que período tienen las empresas para notificarte.
Seguramente has recibido una carta diciendo que piratas cibernéticos atacaron el servidor de una empresa, organización o agencia y tu información fue comprometida.
Silka González, presidenta de la empresa de ciberseguridad ERMProtect explica que "si la brecha es muy grande tienen que cumplir con muchas leyes de diferentes estados".
Cuándo recibes esa notificación depende de donde vives. Las leyes varían por estado. La Florida requiere que te notifiquen “a más tardar 30 días después de determinar que hubo una violación o que sospechan que ocurrió una violación”.
Manténte al tanto de las noticias locales y del estado del tiempo. Suscríbete a nuestros newsletters gratuitos aquí.
Pero ¿qué pasa en casos como el de AT&T que en julio de este año anunció que una brecha de seguridad ocurrida en abril, tres meses antes, comprometió la información de millones de sus clientes? En ese caso, la empresa y el FBI decidieron dilatar el anuncio “debido a riesgos potenciales para la seguridad nacional y/o la seguridad pública”.
Pero expertos dicen que esa no es la única razón por la cual algunas empresas se tardan en reportar brechas.
Local
Silka Gonzalez, presidenta dee ERMProtect advierte que "a veces las brechas no las detectan tampoco el cliente en meses o a veces años y luego es que se dan cuenta".
En el caso de AT&T, cuando la empresa hizo el anuncio dijo: "Hemos tomado medidas para cerrar el punto de acceso ilegal” y a los clientes “proporcionaremos recursos para ayudar a proteger su información”.
El vicepresidente de resolución global de filtraciones de datos y protección al consumidor de Experian dice que el sólo detectar una brecha puede tardar unos 200 días y de ahí que se realice una investigación y se reporte puede ser entre 70 y 75 días.
El senador Mark Warner dice que las empresas que han sido víctimas de ataques cibernéticos deben reportarlos más rápido para que los consumidores puedan tomar medidas y proteger su información. Él presentó un proyecto de ley en el 2021 para exigir eso y la agencia federal de Infraestructura y ciberseguridad ahora está creando regulaciones basadas en sus recomendaciones, pero el procurador general de Connecticut, que aboga por los consumidores afectados por estas brechas duda que se apruebe una ley federal de privacidad de datos.
El centro de recursos sobre robo de identidad o ITRC ha estado documentando las filtraciones de datos por casi 20 años y dicen que, aunque han aumentado los ataques, las empresas les están dando menos información a los consumidores acerca de las causas de las brechas.
La presidenta del ITRC, Eva Velásquez, dice que le gustaría ver legislación federal, estándares mínimos, uniformes que se hagan cumplir. Entiende que las investigaciones tardan, pero dice que si empresas dilatan el proceso de notificación por temor a que impacte sus acciones o ganancias trimestrales, entonces eso es un problema.