Una violación de datos en el Servicio de Alguaciles de EE. UU. Reveló la información personal de los prisioneros
Del mismo modo que los funcionarios encargados de hacer cumplir la ley deberían ser modelos de conducta para ciudadanos comunes, las agencias de aplicación de la ley deberían mostrar a las organizaciones privadas y gubernamentales qué hacer y qué no hacer en diversas situaciones. Desafortunadamente, las cosas no siempre funcionan de esa manera. El Servicio de Alguaciles de EE. UU. (USMS), por ejemplo, recientemente sufrió una violación de datos, y hay que decir que la respuesta posterior al incidente de la agencia ha sido menos que ideal.
Los piratas informáticos rompen los servidores de USMS y roban los datos personales actuales y anteriores de los prisioneros
USMS es parte del Departamento de Justicia, y su función principal es atrapar fugitivos y servir órdenes de arresto. Aparentemente, los datos personales de las personas detenidas gracias a las acciones de USMS se registran y almacenan en un servidor. En algún momento del año pasado, este servidor se vio comprometido y se robaron los datos.
A fines de diciembre de 2019, el Departamento de Justicia informó a USMS sobre la violación y, poco después, se cerró el agujero. En este momento, USMS está en el proceso de identificar a los prisioneros anteriores y actuales afectados e informarlos por correo postal. Tienen todo el derecho de saber sobre el incidente porque durante la violación, los piratas informáticos desviaron toda la información que necesitan para perpetrar el robo de identidad. Según las notificaciones, la base de datos robada incluía nombres de personas, fechas de nacimiento, números de seguridad social y domicilios. Después de que se les informó sobre la violación, las personas afectadas fueron informadas sobre lo que pueden hacer para protegerse contra el robo de identidad.
USMS no quiere hablar sobre la violación
USMS aparentemente no tenía intención de informar a la población sobre la violación de datos. Envió las cartas sin anunciar nada, y la gente se enteró solo después de que algunos de los destinatarios compartieron fotos de las notificaciones en las redes sociales. TechCrunch y ZDNet, los dos medios de comunicación que primero escribieron sobre la violación, le pidieron al USMS más comentarios, pero la agencia gubernamental prefirió no revelar ninguna información adicional.
Hay una falta tangible de detalles sobre el incidente, y deja bastantes preguntas sin responder. No sabemos, por ejemplo, por qué le tomó a USMS la mayor parte de cuatro meses antes de comenzar a informar a las personas afectadas por la violación de datos. Las notificaciones en sí mismas tampoco están repletas de información. La carta no dice, por ejemplo, cuántas personas se vieron afectadas, qué tipo de servidor se utilizó para almacenar los datos personales de los prisioneros, o cómo y cuándo entraron los piratas informáticos.
Las organizaciones gubernamentales deberían saber mejor que nadie que revelar adecuadamente una violación de datos no es tan simple como escribir una breve notificación y decir que la privacidad y la seguridad de las personas se toman en serio. Incluso si una investigación está en curso, la transparencia total es esencial si la compañía o institución objetivo debe mantener su confiabilidad a los ojos del público. Desafortunadamente, en este caso particular, la transparencia no parece ser muy alta en la lista de prioridades de USMS.
