Los cambios que trajo la nueva normalidad por cuenta de la pandemia privilegiaron, entre otras cosas, las aplicaciones digitales. Un ejemplo de ello es que mientras en diciembre de 2019 la plataforma de videollamadas y reuniones virtuales Zoom reportaba 10 millones de usuarios diarios en los encuentros que allí se realizaban a nivel mundial, para abril de este año la cuenta ya iba en más de 300 millones.
Esas cifras fueron entregadas por la propia firma a la Superintendencia de Industria y Comercio (SIC) el 13 de mayo pasado, en el marco de una investigación de la entidad sobre la seguridad de los datos personales de usuarios colombianos de esa ‘app’, a la que ayer se le ordenó reforzar las medidas para proteger esta valiosa información (ver Antecedentes).
Si bien la SIC aclaró que la plataforma ha tenido mejoras en este sentido, aseguró que de todas formas subsisten “falencias” por lo que le pidió acatar la legislación nacional a través de seis estándares. El primero, potenciar las actuales medidas de seguridad para proteger datos personales y evitar el acceso, uso o consulta no autorizado de estos, así como su adulteración o pérdida.
El segundo es “desarrollar, implementar y mantener un programa integral de seguridad de la información” sujeto a pruebas periódicas para conocer su efectividad y que tenga en cuenta el tamaño y complejidad de Zoom y el número de titulares de datos, entre otros factores.
Prevención
La tercera y la cuarta petición de la autoridad que está bajo el mando de Andrés Barreto, en su orden, son avanzar en “un programa de gestión y manejo de incidentes de seguridad en datos personales” y crear una estrategia que capacite de forma rutinaria a empleados y contratistas de la plataforma sobre su política de protección de la información y gestión de incidentes en este ejercicio.
Lo que dice Javier Sandoval, consultor en la implementación del régimen colombiano de protección de datos personales, es que estas determinaciones se adoptan porque según se lee en la propia resolución de la SIC (74519 de 2020) Zoom ha tenido vulnerabilidades como hackers que robaron información de algunas cuentas como correo electrónico y contraseña, dirección de la URL de la reunión que se realizó y la ID secreta del servidor.
“Cuando se roba la contraseña los atacantes pueden empezar a buscar si la persona la usa en otras cuentas”, añade Sandoval, quien asegura que en la ‘app’ se encontraron problemas como que a través de esta se obtendrían datos personales de cuentas de Facebook, así como acceso a los perfiles de LinkedIn.
Con este panorama y las cuatro órdenes iniciales de por medio, las últimas dos exigencias de la SIC a la firma de videollamadas son monitorear que las medidas que implementen sean útiles, y cumplir con ellas en los próximos cuatro meses, lo cual deberá certificar con una entidad independiente.
Al final, destaca María Paula Guevara, líder de cyber de la consultora Marsh, lo importante para el usuario es “comprender y conocer” la información que está compartiendo con este tipo de plataformas, y sobre todo entender que los datos son activos intangibles por lo que tomar la decisión de dárselos a terceros debe ser un proceso con cabeza fría.