Hackeo a Ticketmaster expone vulnerabilidad por ausencia de regulación de ciberseguridad en México
El hackeo de Ticketmaster es la punta de un iceberg de carencias regulatorias de ciberseguridad en México. Desde el sábado 13 de julio hasta el día de hoy no se tiene certeza de lo que ocurrirá con los datos de las personas que fueron robados debido a que el país no cuenta con un marco regulatorio que abarque ataques cibernéticos y la protección de los datos.
De acuerdo con Laura Coronado, abogada experta en cultura digital y regulación del ciberespacio, a pesar de que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) al igual que la Procuraduría Federal del Consumidor (PROFECO) se encuentren investigando, en caso de fijar que Ticketmaster es responsable, la imposición de una multa económica no abarca la protección de los datos de los usuarios, lo que expone la vulnerabilidad de la carencia de una Ley de Ciberseguridad en el territorio mexicano.
“La persona que ingresó sus datos no se verá beneficiada directamente y eso es una de las fallas que tiene nuestro sistema. De nada me sirve a mí que multen a Ticketmaster para que digan que no lo vuelve a hacer cuando en realidad mis datos están en peligro”, dijo en entrevista.
Ticketmaster no deja claro la cantidad de datos que fueron robados. El correo enviado el pasado sábado alertó sobre un hackeo masivo ocurrido en mayo, que únicamente informaba que la información de los usuarios podría haber sido comprometida.
Entre los datos expuestos pueden encontrarse datos de contacto como nombre completo, e incluso detalles de tarjetas de pago incluyendo números de tarjetas de crédito o débito encriptados y sus fechas de vencimiento.
Este no es el primer incidente que tiene la empresa. A finales de mayo, el medio especializado Hackread informó sobre una vulnerabilidad en el sistema de Ticketmaster que comprometió la información de más de 560 millones de personas a nivel global.
El grupo de hackers ShinyHunters se atribuyó el ataque, extrayendo una base de datos de 1.3 terabytes que pusieron a la venta por 500,000 dólares. A pesar de intentar negociar un rescate con la empresa, no recibieron respuesta.
Investigaciones posteriores revelaron que los ciberdelincuentes accedieron a los datos tras robar las contraseñas de inicio de sesión de Snowflake, una plataforma de almacenamiento en la nube utilizada por Ticketmaster para gestionar información de clientes.
“La empresa ya había tenido este tema en otras regiones del mundo, ya sabía que habían tenido incidentes o brechas en protección de datos y aún así no hicieron lo que pudieron para que los hackers no pusieran en riesgo a la población mexicana”, opina la experta.
La actividad delictiva en México fue detectada entre el 2 de abril y el 18 de mayo de 2024, y aunque la empresa asegura que desde esa fecha no ha identificado otro tipo de actividad inusual, el INAI recientemente dijo que investigará porque la empresa no notificó antes a sus clientes.
📄#ElINAIteInforma
El INAI iniciará investigación de oficio por presunta divulgación de datos personales de @Ticketmaster_Me.
🔗 https://t.co/lYJlGP7L4K pic.twitter.com/BCCwvBkKRz— INAI (@INAImexico) July 14, 2024
La institución recordó que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece que las empresas privadas, así como las personas morales o físicas que manejen datos personales, deben cumplir con los principios, deberes y obligaciones previstos en la normativa.
Sin embargo, tal como lo señala la también escritora, Laura Coronado, es posible que la exposición de los datos y su protección queden impunes, al no contar con un marco regulatorio.
El país actualmente se encuentra en la encrucijada de la ciberseguridad y el camino hacia una legislación efectiva que aún está lejos de ser clara. Desde 2018 se han propuesto 11 iniciativas de leyes sobre ciberseguridad, pero ninguna ha llegado a concretarse. El legislador Javier López Casarín, del Partido Verde y presidente de la Comisión de Ciencia, Tecnología e Innovación en la Cámara de Diputados, presentó en abril del año pasado una nueva iniciativa que propone un papel más activo de las fuerzas armadas en la atención de incidentes cibernéticos.
El papel de esta ley es urgente, puesto que durante el año 2023, México enfrentó 94 mil millones de intentos de ataques detectados por la compañía de ciberseguridad Fortinet. De ellos, 200 mil millones fueron en México, representando el 47% del total de ataques registrados en la región latinoamericana.
Sin embargo, la búsqueda de la regulación ha presentado trabas como la falta de consenso entre diversos sectores, las preocupaciones sobre la protección de derechos humanos y la privacidad, la falta de asesoría y apoyo de personas con experiencia y conocimiento en el medio.
“La Ley de ciberseguridad, que es uno de los grandes pendientes de este sexenio, se ha tratado de presentar a través de distintas iniciativas, pero ninguna de ellas se les ha visto como prioridad. El efecto inmediato de la ausencia de esta ley es la impunidad Ticketmaster”, asegura la académica.
La empresa dijo que se encuentra implementado medidas técnicas y administrativas para fortalecer la seguridad de sus sistemas y la protección de los datos de los usuarios, que van desde la rotación de contraseñas para todas las cuentas comprometidas, la revisión de permisos de acceso y el fortalecimiento de los mecanismos de alerta. La empresa también ofreció a los afectados un año de servicios de monitoreo de identidad a través de la plataforma TransUnion, que ayuda a verificar si la información personal se encuentra en la Dark Web.
Por su parte, el INAI puso a disposición el teléfono 800 835 4324; y el correo atencion@inai.org.mx, para que los usuarios presenten su denuncia, que también puede ser
de manera presencial en las instalaciones del INAI.
Sin embargo, de concretarse las denuncias aún existirá un hueco que no termine por solucionar la vulnerabilidad de los datos, que son la materia valiosa de los delincuentes.
