La mayor filtración de datos personales en la historia de Brasil

Sábado 13 de febrero del 2021

Reproducimos este artículo por la gravedad de la noticia, aunque lamentamos que el autor no ponga el foco al final del texto en el problema de fondo y naturalice que los datos sean digitalizados sí o sí, ya sea por gobiernos o por empresas. No basta con «protección de datos» en el debate de la privacidad, como no bastan los «protocolos» en la actual crisis sanitaria. Aparte de esto, lectura recomendada. Redacción Hamartia

Escribe: Luca Belli (*)

Publicada originalmente por OpenDemocracy.net el viernes 12 de febrero del 2021

En Brasil, cómo en la mayoría de los países de renta baja, se crean bases enormes de datos personales, prestándole muy poca atención a temas de ciberseguridad y protección de datos. El 20 de enero se descubrió la filtración de datos personales más grande en la historia de Brasil. Aunque no exista un registro oficial de filtraciones de datos en el país, es difícil pensar en la existencia de otra filtración de datos más amplia y detallada.

Los conjuntos masivos de datos fueron descubiertos inicialmente por PSafe, una empresa de ciberseguridad, en un foro de la Dark Web. Posteriormente, fueron reportados por Tecnoblog, un portal tecnológico brasileño. Las bases de datos disponibles -gratuitas o en venta- incluyen nombres, identificadores fiscales, imágenes faciales, direcciones, números de teléfono, correos electrónicos, puntuación de crédito, salarios y más. Expusieron a 223 millones brasileños. Si la cifra suena extraña, ya que la población brasileña es sólo de unos 210 millones, es porque los datos filtrados también abarcan esos de varios millones de personas fallecidas. 104 millones de registros de vehículos también están disponibles.

El hecho que gran parte de la información incluida en la filtración es habitualmente utilizada por las agencias de calificación crediticia, junto con la enorme extensión de las bases de datos, ha llevado a muchos observadores a sospechar que la filtración podría haberse originado en Serasa Experian, la agencia principal de calificación crediticia. Sin embargo, por el momento, esta suposición no ha sido confirmada por ninguna investigación oficial. Serasa niega las sospechas.

Una versión condensada de los datos está disponible gratuitamente en un foro de la Darknet. Una base de datos aún más amplia, que incluye 14 gigabits de casi cualquier información imaginable sobre cada individuo, empresa y vehículo brasileño, está actualmente a la venta.

La versión gratuita incluye «sólo» el nombre completo, el identificador fiscal único («CPF»), la fecha de nacimiento y el sexo de los 223,74 millones de individuos. El portal tecnológico brasileño informó que el enlace para descargar los datos ha sido, incluso, indexado por Google Search, y ni siquiera es necesario acceder a las zonas oscuras de la Dark Web para encontrarlo.

Los interesados en el paquete completo deben gastar entre 0,075 y 1 dólar por individuo. El importe depende de la cantidad de datos que “el cliente” esté interesado en comprar. Mientras más se compre, mayor será el descuento que podrá obtener. Los datos se venden en paquetes a partir de 500 dólares y los pagos pueden ser ejecutados en Bitcoin solamente.

Las 37 bases en venta incluyen literalmente todos los tipos de datos personales que pudieras pensar, además de otros que no estás pensando realmente. Entre ellos se encuentran el número de DNI, el estado civil y la lista de todos los familiares de primer grado (padres, hijos, hermanos, cónyuge), la dirección completa del domicilio (incluyendo la latitud y la longitud), la puntuación de crédito, el número de registro de votantes, la profesión, e incluso el enlace al perfil de LinkedIn.

La versión gratuita incluye «sólo» el nombre completo, el identificador fiscal único («CPF»), la fecha de nacimiento y el sexo de los 223,74 millones de individuos

Las bases de datos también incluyen datos que suelen procesar las agencias de crédito, cómo el nivel de estudios, el salario, los ingresos y el poder adquisitivo. Aunque no se ha confirmado, Serasa Experian ha sido objeto de sospechas por el tipo de datos y la forma en que están organizados los conjuntos de datos. La clasificación de datos en segmentos específicos de consumidores se asemeja mucho a la forma en que esta empresa estructura su publicidad y categoriza a sus clientes. Por ejemplo, uno de los conjuntos de datos disponibles se llama «Mosaico,» e incluye información organizada según el modelo Mosaico, un servicio de prospección de consumidores de Serasa Experian que clasifica a las empresas como «grandes, tradicionales e influyentes», «pequeños comerciantes rurales» y «jóvenes empresarios en alza».

Este es sólo el último ejemplo de una larga serie de flagrantes filtraciones de datos, probablemente comparables al caso Equifax, en el que se filtraron los datos personales de 145 millones de personas de la oficina de crédito estadounidense. Los lectores de todo el mundo se preguntarán: ¿Cómo es posible que se produzca una filtración de esta envergadura después de que Brasil haya aprobado su nueva Ley General de Protección de Datos Personales (más conocida como LGPD)? ¿No está la ley en vigor desde septiembre de 2020? Sí, lo está. Sin embargo, cómo los brasileños están descubriendo ahora por las malas, tener una ley es solo un paso embrionario hacia la protección de datos.

Las lecciones que Brasil debe aprender ahora se aplican a todos los lugares donde se recopilan datos personales. Lo que más importa es cómo la protección de datos personales se integra culturalmente con las personas, empresas y administraciones, y cómo se aplica la ley. De nada sirve crear leyes elegantes de protección de datos, copiando y pegando derechos y obligaciones de marcos extranjeros, si nadie en su país sabe que esas normas existen o cómo aplicarlas y cumplirlas adecuadamente. Un país puede que aparezca en un bonito mapa de naciones con leyes de protección de datos (¡hurra!), pero la situación en el terreno probablemente seguirá estando dramáticamente alejada de la letra de la ley.

Aunque la protección de datos ha sido fuente de debate durante décadas en los círculos especializados, es un concepto muy nuevo para la mayoría de la gente, y muy pocas empresas u organizaciones lo consideran una prioridad. Al mismo tiempo, los datos personales se cosechan a gran escala, y tanto el mercado cómo las prácticas sociales tienden a considerar los datos personales cómo algo con lo que se debe comerciar sin cuidado. En Brasil, en cualquier farmacia o supermercado, el cajero le pedirá su número de CPF, incluso antes de pedirle que pague. Y si no compartes este identificador único, la gente te mirará sorprendida, considerando que eres una persona extraña que rechaza «el descuento».

Resulta preocupante que incluso cuando las organizaciones son conscientes de la existencia de la nueva ley de protección de datos y de las nuevas obligaciones en materia de seguridad de los datos, no sepan cómo incorporar la protección de la privacidad en sus estructuras técnicas y organizativas. El hecho de que la protección de datos sea nueva, significa que hay una increíble escasez de profesionales capaces de estructurar adecuadamente el cumplimiento de la Ley y de observar diligentemente las mejores prácticas de seguridad de datos. La mayoría de las personas que se autoproclaman «especialistas en protección de datos» en las redes sociales, probablemente sólo igualados en número por los «evangelistas del blockchain», han empezado a abordar el tema hace no más de uno o dos años.

Tener una ley es sólo un paso embrionario hacia la protección de datos

El gobierno brasileño estableció una nueva Autoridad de Protección de Datos por decreto sólo a finales de agosto de 2020, aunque las normas que ordenan su creación es la única parte de la LGPD que está en vigor desde diciembre de 2018. La nueva Autoridad jugará un papel clave, pero hasta ahora no ha emitido ningún reglamento, ya que aún está en proceso de ser -literalmente- construida desde cero. Sólo el 28 de enero publicó su primera agenda normativa. La orientación sobre cómo realizar la auditoría de las bases de datos personales, especialmente en lo que respecta a la seguridad de los datos, es simplemente inexistente. Y, en este contexto, el gobierno ha anunciado la próxima creación de un nuevo sistema de identidad digital.

Tanto el nivel inadecuado de protección de datos como el deseo de digitalizarlo todo lo más rápido posible, son características comunes en muchos países, especialmente los de bajos ingresos, deseosos por adoptar la tecnología por razones de desarrollo. Esta tendencia se ha visto acelerada por la pandemia actual. Sin embargo, la filtración reciente en Brasil subraya que ya no se puede posponer la preocupación por la protección de datos. La digitalización sostenible no puede producirse sin una protección sólida.

Para abordarla con seriedad, se necesita una estrategia nacional de protección de datos, que parta de iniciativas de capacitación bien diseñadas y dirigidas a toda la población. Esta es la única manera de crear una cultura de protección de datos, en la que tanto las personas como las organizaciones comprendan el valor de la protección de datos. No sólo para que los consumidores y los ciudadanos estén bien informados, sino también para que se den cuenta que ofrecer una protección de datos fiable es un factor clave para ganarle a la competencia.

Solo cuando se comprenda plenamente el valor de la protección de datos, será posible abrazar la idea de la digitalización sostenible.

(*) Profesor de Gobernanza y Regulaciones de Internet, School of Law, Fundação Getúlio Vargas