Un organismo de control de los derechos de los consumidores brasileños, ha instado al gobierno federal a tomar medidas inmediatas y urgentes para proteger a los ciudadanos que tuvieron sus datos personales expuestos en línea.
Los avisos enviados por el Instituto Brasileño de Protección al Consumidor (IDEC) a varios organismos gubernamentales están relacionados con una filtración masiva de datos, en la que se expusieron y vendieron en la red oscura los datos de 223 millones de brasileños, desde el nombre y la dirección hasta los ingresos actuales, pasando por la información sobre los vehículos personales y las declaraciones de impuestos.
Además, la filtración también incluía información de Mosaic, un modelo de segmentación de consumidores utilizado por Serasa, la filial brasileña de la multinacional de investigación crediticia Experian, expuesta en línea y puesta a la venta. El incidente fue descubierto por la empresa de ciberseguridad Psafe en enero, y se considera la fuga de datos más importante de la que se tiene constancia en Brasil.
Según la IDEC, la magnitud y el alcance de la situación exigen que se adopten medidas de inspección periódicas para las bases de datos a gran escala, como las oficinas de crédito, que podrían haber sido el origen de la filtración. La organización de defensa de los consumidores también señaló que las filtraciones de datos en Brasil se convirtieron en una “rutina inaceptable” y que una forma de reducir la probabilidad de que se produzcan es evitar que las bases de datos de los consumidores se formen sin ninguna limitación y que se les dé la opción de excluirse de ellas.
Experian emitió un comunicado en el que afirmaba que está llevando a cabo una “investigación forense detallada” sobre la posibilidad de que “parte de la [información filtrada] pueda proceder de sus datos de marketing no sensibles”.
La empresa argumentó que los datos que se ofrecen a la venta en línea “incluyen fotografías, números de la seguridad social, registros de vehículos y datos de acceso a las redes sociales, que Serasa no recoge ni tiene”. Además, Experian afirmó que “no hay pruebas” de que los datos crediticios hayan sido obtenidos ilegalmente de Serasa, ni de que los sistemas tecnológicos de la empresa hayan sido comprometidos.
Según el IDEC, la exposición de datos es una grave violación del Reglamento General de Protección de Datos, así como del Código de Protección del Consumidor de Brasil, debido al incumplimiento de las medidas de seguridad, así como una grave violación de los deberes de seguridad e información en la prestación de servicios.