Shein multada con 1,9 millones de dólares en Nueva York

December 13, 2024 | 5 minutes read
Shein multada con 1,9 millones de dólares en Nueva York

La semana pasada, se anunció que la popular marca de moda rápida Shein estaba siendo multada con 1,9 millones de dólares en respuesta al manejo de la compañía de una violación de datos en 2018. Durante el mencionado evento, los “Detalles de inicio de sesión de 39 millones de cuentas de Shein fueron robados en 2018 después de que su empresa matriz, Zoetop, fuera blanco de los hackers”. La fiscal general de Nueva York, Letitia James, dijo que Zoetop había mentido sobre el alcance de la brecha y había notificado a “solo una fracción” de los clientes afectados.” Posteriormente, hasta 800.000 residentes en el estado de Nueva York se vieron afectados por la violación de datos que se produjo.

Con este fin, Zoetop también mintió supuestamente sobre las formas específicas de información personal que fueron reveladas como resultado de la violación de datos que tuvo lugar, ya que la compañía habría dicho a los clientes que no había descubierto evidencia de información robada de tarjetas de crédito, o direcciones de cuentas de correo electrónico y contraseñas. Sin embargo, posteriormente se demostró que estas afirmaciones eran falsas, ya que Zoetop había sido informada por múltiples fuentes de que estos elementos de datos sí estaban implicados en la brecha que sufrió la empresa en 2018. Sin embargo, la incapacidad de Zoetop para proporcionar a sus clientes transparencia en relación con la violación de datos que afectó a la empresa hace varios años ha tenido un efecto adverso en todas las partes involucradas.

Investigaciones sobre la violación de datos

En este último punto, a pesar de la gran cantidad de clientes que se vieron afectados por la violación de datos que Zoetop abordó en 2018, la compañía no restableció las contraseñas de sus millones de clientes hasta casi dos años después, en 2020, después de que un cliente encontrara sus datos personales a la venta a través de la dark web. Por esta razón, la “investigación de la OAG también descubrió que Zoetop “no mantuvo medidas de seguridad razonables” en el momento del hackeo, incluido el uso de sistemas de gestión de contraseñas insuficientes y no supervisó los problemas de seguridad ni contó con un plan integral en caso de un ciberataque.”

Como referencia, el Estado de Nueva York no hace públicas las notificaciones de violación de datos, a diferencia de muchas otras jurisdicciones del país. Esta es la razón por la que la noticia de la multa impuesta a Zoetop por la OAG de Nueva York no se conoció hasta la semana pasada, a pesar de que los hechos que inspiraron la multa ocurrieron en 2018. No obstante, las disposiciones de la ley neoyorquina Stop Hacks and Improve Electronic Data Security o SHIELD Act obligan a las empresas que prestan servicios a clientes dentro de Nueva York a tomar ciertas medidas para evitar que estos datos sean robados en el transcurso de una violación de datos.

Legislación sobre violación de datos en EE.UU.

No obstante, la existencia de la Ley SHEILD no obligó a Zoetop a revelar la violación de datos que tuvo lugar en 2018 en el momento en que ocurrió, ya que los miembros del público en general solo tuvieron conocimiento de la violación después de que su información hubiera estado disponible a través de la web oscura durante casi 2 años. Del mismo modo, aunque la multa impuesta a Zoetop la semana pasada por no proteger la información personal de sus clientes fue significativa para los consumidores del estado de Nueva York, subraya el problema actual que está presente en el panorama de la privacidad en todo el país.

Más concretamente, debido a la fragmentación de la legislación sobre protección de datos en Estados Unidos, las empresas que operan en el país no están sujetas a una única ley federal que les obligue a proteger la información personal de sus clientes. En su lugar, cada estado de EE.UU. tiene su propia ley de notificación de violación de datos, lo que significa que estos estados deben gastar un tiempo valioso y dinero de los contribuyentes para descubrir información que podría haberse obtenido fácilmente de una sola agencia gubernamental. De esta manera, los consumidores de Estados Unidos son vulnerables a los impactos negativos de verse involucrados en una violación de datos, ya que cada gobierno estatal individual debe trabajar simultáneamente para responsabilizar a estas empresas.

Aunque la noticia de que Zoetop y su filial Shein han sido multadas con 1,9 millones de dólares en respuesta a su gestión de una filtración de datos en 2018 acaba de aparecer en los titulares nacionales, el trabajo legal subyacente que se necesitaba para aplicar dicha acción legal lleva desarrollándose desde hace muchos años. Sin embargo, a pesar de esto, los ciudadanos estadounidenses merecen un mayor nivel de protección y honestidad por parte de las empresas que patrocinan a diario, ya que estas empresas no podrían mantener la producción sin este dinero. Pero lo que es más importante, ningún consumidor que viva en cualquier país del mundo debería tener que enterarse de una violación de datos a través de la dark web o de cualquier otro canal nefasto.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »