Imagen con fines ilustrativos tomada de www.hoysanrafael.com
La descarga de datos que hicieron dos empleados del BAC al Sistema de Recaudación Centralizada (Sicere) de la Caja Costarricense de Seguro Social (CCSS) incluye no solo información personal de los afiliados a varios sistemas de pensiones, sino historia patronal y hasta datos de salarios.
¿Cuál es el riesgo de eso? ¿Qué podrían hacer ellos con esa información? De acuerdo con Adalid Medrano, abogado especialista en delitos informáticos, las posibilidades son varias:
- Ser parte de una estrategia para ofrecerle productos
- Dar a conocer su perfil de vida con fines comerciales o delictivos
- Ser víctima de estafas informáticas
- Convertirse en una víctima de delito común por su poder adquisitivo
La descarga adicional de información que hicieron los dos funcionarios del BAC son datos que, en el mercado negro, podrían tener un valor de más de $ 15 000.
Así lo explicó Medrano, quien destaca que es difícil establecer un precio sin tener claridad de quiénes son los afectados y cuál es toda la información en poder de estas personas.
“A nivel mundial esta es una práctica común. En algunos casos, se ponen estas bases de datos de manera gratuita a disposición de la gente, como el caso del sitio web que era para infieles, donde los delincuentes dejaron en Internet a disposición de cualquiera, todos los datos de las personas como preferencias sexuales, tarjetas de crédito, etcétera”, mencionó.
Lea ¿Quiénes eran y qué buscaban los usuarios del sitio para infieles?
De acuerdo con Medrano, con este hecho, queda en evidencia que la Caja no se está tomando con seriedad la seguridad de datos informáticos de todos los costarricenses.
Según el experto, una de las ventajas de cómo se llevó a cabo esta situación es que fueron los mismos funcionarios de la entidad bancaria quienes se apoderaron de los datos y no alguien externo.
¿Por qué es un delito?
En el Código Penal está estipulado, según Medrano, que este es un delito de violación de datos personales porque las personas con beneficio propio o de un tercero tienen acceso o recolectan datos personales de manera ilegítima.
Los empleados se pueden exponer a penas de uno a tres años de cárcel, mientras que el banco, si se determina que tuvo algún tipo de responsabilidad, podría enfrentar ante la Agencia de Protección de Datos de los Habitantes, una sanción de unos 8 a 10 millones de colones.
El gerente general del BAC, Gerardo Corrales, aseguró que para sus clientes no existen riesgos y destacó que los funcionarios, que ahora están separados de su cargo, debían solamente actualizar la evidencia de ingresos de sus clientes y no descargar información de otras operadoras de pensiones.
Corrales manifestó que los empleados realizaron la descarga de los 522 000 datos utilizando una aplicación que aceleraba el proceso, ya que de manera convencional pueden llevarse hasta seis días.
La información, recalcó Corrales, no se usó para otro fin, según la investigación que la entidad realizó, la misma fue encapsulada en un servidor que se puso a disposición de las autoridades judiciales.
El Ministerio Público informó que la Fiscalía Adjunta de San José, tramita el caso como un presunto delito de sabotaje informático, debido a que aparentemente se presentó la inutilización o entorpecimiento del Sicere.
Lea: Sicere deberá “sacar tiempo” para conocer datos “jaqueados”
La denuncia por parte de la Caja ingresó el 13 de agosto del 2015 a la Fiscalía de Fraudes.