Acuerdo de 63 millones para víctimas de filtración de OPM

December 13, 2024 | 4 minutes read
Acuerdo de 63 millones para víctimas de filtración de OPM

Hace varios años, en 2015, la Oficina de Gestión de Personal (OPM), una de las muchas agencias que conforman el gobierno federal de Estados Unidos, sufrió una violación de datos que afectó no sólo a los empleados federales, sino también a los solicitantes de empleo, en lo que se ha descrito como una de las mayores violaciones que una agencia del gobierno de Estados Unidos ha enfrentado. Con este fin, las víctimas de esta histórica violación de datos obtuvieron finalmente algún tipo de resolución la semana pasada, cuando un juez federal acordó finalizar un acuerdo de 63 millones de dólares en respuesta a los numerosos daños que las víctimas de la violación de datos sufrieron como resultado de los acontecimientos que tuvieron lugar.

Posteriormente, “los documentos judiciales muestran que casi 20.000 personas ya se han adherido a la demanda colectiva”, pero otras personas que puedan haberse visto afectadas por la violación podrán presentar una reclamación hasta el 23 de diciembre de 2022. Además, la Federación Americana de Empleados del Gobierno (AFGE) también ha notificado a “cerca de un millón de víctimas potenciales informándoles sobre la demanda colectiva”. Además, los demandantes han creado anuncios dirigidos a los actuales y antiguos empleados federales en las redes sociales, así como anuncios en prensa y radio para darles a conocer la demanda colectiva.”

Violación de datos de la OPM

En cuanto a las circunstancias que condujeron a la filtración de datos que sufrió la Oficina de Gestión de Personal en 2015, la agencia gubernamental sufrió filtraciones de datos en 2 ocasiones distintas durante el año. Dicho esto, la OPM descubrió que la información personal de más de 4,2 empleados del gobierno había sido robada a principios de 2015, incluyendo información relativa a los miembros de la familia de estos empleados. Asimismo, la información robada incluía direcciones particulares, nombres completos y números de la seguridad social, así como fechas de nacimiento, entre otras cosas.

Es más, la OPM sufrió una segunda filtración de datos varios meses después, en junio de 2015, cuando se volvieron a robar los registros de investigación de antecedentes de empleados actuales, antiguos y futuros. Asimismo, la información robada durante esta segunda filtración incluía una vez más números de la seguridad social, así como información biométrica, incluidas las huellas dactilares de los empleados públicos. Debido en gran parte a la naturaleza sensible de la información que se reveló durante el transcurso de estas dos violaciones de datos respectivas, así como el gran número de personas que se vieron afectadas, estos incidentes fueron algunos de los eventos de ciberseguridad más importantes a los que una agencia gubernamental de EE.UU. ha tenido que hacer frente.

Malas prácticas de seguridad de la OPM

Aunque no se ha identificado de forma concluyente a ningún individuo o grupo de individuos como autores de la filtración de datos contra la Oficina de Gestión de Personal de Estados Unidos, el consenso general en torno al ataque es que “esa OPM fue pirateada por atacantes patrocinados por el Estado que trabajan para el gobierno chino”. Entre las pruebas está el hecho de que PlugX, la herramienta de puerta trasera instalada en la red de la OPM, está asociada a grupos de piratas informáticos en lengua china que han atacado a activistas políticos en Hong Kong y el Tíbet; el uso de nombres de superhéroes también está asociado a grupos vinculados a China.”

Además, las prácticas de ciberseguridad supuestamente deficientes de la OPM también desempeñaron un papel enorme en las dos violaciones de datos que tuvieron lugar en 2015. Para ilustrar este punto aún más, un gran número de los empleados del gobierno que se vieron afectados por la violación de datos no tenían autenticación de dos factores configurada en sus cuentas, por lo que es increíblemente fácil que les roben su información personal. Además, a pesar de que la OPM había implementado una herramienta de gestión de eventos e información de seguridad (SIEM) en un intento de proteger los datos personales de sus empleados, esta herramienta estaba mal configurada, lo que significaba que no cubría la información de hasta el 20% de los sistemas de seguridad de la información de la agencia gubernamental.

Si bien las violaciones de datos seguían siendo un hecho cotidiano en 2015, al igual que lo siguen siendo hoy en día, el alcance y la gravedad de las dos violaciones de datos que sufrió la OPM han tenido un impacto duradero en muchos de los empleados del gobierno que trabajaban para la agencia en ese momento, además de otros empleados que trabajaban para la agencia anteriormente. Por este motivo, el acuerdo sobre la filtración de datos alcanzado la semana pasada fue positivo para todas las partes implicadas, independientemente de que hayan tenido que pasar 7 años para que se dictara sentencia. En consecuencia, independientemente de cualquier otro factor atenuante, la protección de la información personal de los empleados públicos de la nación debe ser una prioridad absoluta en todo momento.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »