Samsung y la falta de coherencia en los avisos de violación de datos

December 06, 2024 | 6 minutes read
Samsung y la falta de coherencia en los avisos de violación de datos

A principios de septiembre de 2022, el conglomerado multinacional de fabricación surcoreano Samsung anunció que la empresa había sufrido una violación de datos casi un mes antes, en julio de 2022. Más concretamente, el aviso que la empresa publicó en su centro de respuesta de seguridad afirmaba que “a finales de julio de 2022, un tercero no autorizado adquirió información de algunos de los sistemas estadounidenses de Samsung. Alrededor del 4 de agosto de 2022, determinamos a través de nuestra investigación en curso que la información personal de ciertos clientes se vio afectada. Hemos tomado medidas para proteger los sistemas afectados, hemos contratado a una empresa externa líder en ciberseguridad y nos estamos coordinando con las fuerzas del orden”. La notificación continúa detallando qué elementos de los datos se vieron comprometidos durante la violación, que incluía nombres, fechas de nacimiento y detalles de contacto, entre otras cosas.

Sin embargo, aunque este aviso de violación de datos parece ser uno de los muchos documentos de este tipo que las grandes empresas como Samsung publican en sus sitios web prácticamente a diario, el aviso en cuestión es un tanto vago y ambiguo acerca de la causa de la violación de datos, qué tipo de información fue violada, etc. En relación con este último punto, Zack Whittaker, editor de seguridad de TechCrunch, escribió un artículo en el sitio web de tecnología en línea en el que destacaba lo que el aviso de violación de datos más reciente de Samsung significa realmente para los millones de clientes que utilizan los productos de la empresa, de acuerdo con la anotación de cada frase contenida en el aviso.

Violación de datos frente a violación de la seguridad

Para empezar su análisis y anotación, Whittaker aborda la idea errónea de que los términos “datos” y “violación de la seguridad” son intercambiables. El artículo continúa diciendo que “no todos los incidentes de seguridad son iguales. Los hackers malintencionados no siempre roban datos; depende de cómo estén configurados los sistemas y la red de una empresa y de lo lejos que lleguen los hackers”. Whittaker continúa afirmando que el aviso de brecha que Samsung publicó recientemente en el sitio web de la compañía representaba la cantidad mínima de información relativa al evento que se requiere legalmente para las empresas que operan dentro de los EE.UU., lo que significa que la brecha que se produjo fue probablemente más impactante de lo que realmente se ha informado hasta ahora.

Para ilustrar aún más este punto, la brecha que sufrió Samsung en julio de 2022 fue la segunda de este tipo que se ha producido en el último año natural, ya que el conglomerado también fue atacado por el grupo de piratas informáticos conocido como Lapsus$ en marzo de este año. Para contextualizar, Lapsus$ ha estado involucrado en una serie de otras violaciones de datos de alto perfil que afectan a empresas internacionales sólo en el último año, incluyendo Nvidia, Qualcomm, y T-Mobile, entre otros. Dicho esto, la filtración de datos que Samsung ha sufrido recientemente podría deberse perfectamente a que la empresa no ha sabido proteger eficazmente los datos personales de sus clientes, a pesar de que el aviso de filtración que publicaron podría sugerir lo contrario.

Información robada

El segundo punto importante que Whittaker señala al analizar la reciente notificación de violación de datos de Samsung es la forma en que la empresa describió las formas de información que se vieron comprometidas en el transcurso del suceso. A modo de referencia, aunque Samsung mantiene que la violación de datos que sufrió recientemente “no afectó a números de la Seguridad Social ni a números de tarjetas de crédito y débito”, la empresa continúa diciendo que “la información afectada para cada cliente relevante puede variar”. Asimismo, Whittaker plantea que esta última frase sugiere que “no todos los clientes de Samsung están afectados, pero también podría significar que Samsung aún no sabe cuántos datos fueron robados en su violación de datos.” Además, Whittaker también señala las formas en que la política de privacidad de Samsung describe la información personal.

Aunque muchas personas se limitan a hojear una política de privacidad antes de aceptarla, debido a la extensión y complejidad inherentes a este tipo de documentación, los consumidores pueden ser inducidos a error sobre la forma en que una empresa protege realmente sus datos personales. Por ejemplo, aunque Samsung ha confirmado que se robaron datos demográficos durante la filtración de datos que sufrió recientemente, la política de privacidad de la empresa afirma que dicha información se utiliza para “ayudar a ofrecer la mejor experiencia posible con nuestros productos y servicios”. Por esta razón, Whittaker y TechCrunch se pusieron en contacto con Samsung para obtener más información y claridad sobre la política de privacidad de la compañía, aunque sin éxito.

Política de privacidad

Sin embargo, Whittaker continúa argumentando que, incluso sin tal aclaración, el contenido de la política de privacidad de Samsung esboza la verdadera forma en que la empresa recopila información personal de sus clientes. Por ejemplo, mientras que el censo de EE.UU. puede categorizar los datos demográficos en términos como edad, sexo y raza, Samsung utiliza este mismo término para incluir información técnica sobre los dispositivos de los usuarios, las aplicaciones móviles y en línea a las que accede un cliente de Samsung cuando utiliza dichos dispositivos, la forma en que los usuarios interactúan con los anuncios y la información precisa de geolocalización de los clientes. En este sentido, aún están por ver las categorías reales de datos personales que se revelaron durante la violación más reciente de Samsung.

A pesar del hecho de que casi todos los estados o territorios importantes de los EE.UU. han promulgado algún tipo de legislación de notificación de violación de datos o de seguridad a partir de 2022, el nivel de ambigüedad que está presente en las políticas de privacidad de las grandes empresas como Samsung puede hacer que sea extremadamente difícil para los ciudadanos estadounidenses comprender qué elementos exactos de los datos que les pertenecen pueden haber sido comprometidos durante un incidente de violación en particular. Debido a este hecho, los consumidores deben estar alerta siempre que sospechen que sus datos personales pueden haber sido objeto de una violación de datos, ya que muchas empresas a gran escala sólo proporcionarán a los clientes el mínimo de información que se requiere legalmente cuando experimentan tales incidentes en la práctica.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »