La Real Academia de la Lengua Española define hackear, como verbo transitivo del inglés “to hack”, en los siguientes términos:
1. Jaquear: En el juego del ajedrez, dar jaques.
2. Poner en jaque algo o a alguien.
3. Introducirse de forma no autorizada en un sistema informático.
El pasado 2 de febrero de 2023 el Buró de Crédito publicó en su portal de internet que había sido víctima de un incidente de ciberseguridad: datos personales y financieros fueron filtrados y puestos en venta en la Deep web (internet oculta). Asimismo, el 22 de febrero del mismo año, la Comisión Nacional Bancaria y de Valores (CNBV) comunicó sobre el incidente dando cuenta de que el 19 de diciembre de 2022 el Buró de Crédito informó de la venta de una base de datos en la Deep web y activó de inmediato el protocolo de seguimiento y monitoreo.
Las Sociedades de Información Crediticia se encuentran normadas bajo la Ley para Regular las Sociedades de Información Crediticia, supervisada por el Banco de México, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros y la CNBV. Estas tienen la facultad de imponer sanciones administrativas, sin menoscabo de las sanciones penales.
El Buró de Crédito, conforme a la ley, está dedicado a la prestación de servicios consistentes en la recopilación, manejo, entrega y/o envío de información relativa al historial crediticio de personas físicas y morales, así como de operaciones crediticias y otras de naturaleza análoga que se mantengan con entidades financieras, comerciales y/o fiscales para determinar el nivel de riesgo, probabilidad de mora o impago.
La información debe estar protegida por medidas de seguridad y control para evitar su manejo indebido ante cualquier acto u omisión que cause daño en su patrimonio o al sujeto del que posea datos, conforme lo dispone el artículo 22 de la ley citada. Ahora bien, la Constitución Política de los Estados Unidos Mexicanos (CPEUM) protege el derecho a la privacidad en su artículo 16, párrafo segundo: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”. Para regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, se encuentra la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), cuyos principios son licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
La observancia de la ley es obligatoria para los particulares, sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables; y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente privado, y sin fines de divulgación o utilización comercial conforme al artículo 2 de la LFPDPPP, por lo que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), por la excepción mencionada, no supervisa a las Sociedades de Información Crediticia. Ahora bien, en el artículo 7 del Código Penal Federal (CPF) se establece que: “Delito es el acto u omisión que sancionan las leyes penales, en los delitos de resultado material también será atribuible el resultado típico producido al que omita impedirlo, si este tenía el deber jurídico de evitarlo”.
Asimismo, en el artículo 211 bis 4, bis 5, y bis 6 del mismo Código se encuentra tipificado el acceso ilícito a sistemas y a equipos de informática. Por esta razón, derivado del acceso ilícito a los sistemas de Buró de Crédito, el 24 de marzo de 2023, denuncié los hechos ante la Fiscalía General de la República, señalando al Buró de Crédito como presunto responsable (comisión por omisión) en su calidad de garante y a los demás que resulten responsables por las acciones que pudieran ser constitutivos de delitos. Resta que las autoridades financieras y penales investiguen a fondo para esclarecer los hechos, que los culpables no queden impunes y los daños causados se reparen; asimismo el Congreso debe prestar atención a la iniciativa de la Ley General de Ciberseguridad para una mayor comprensión y administración de los riesgos digitales.
FUENTES
•Revista tiempo de derechos, número 61, página 48
•www.gob.mx/ – https://bit.ly/3HG8I2h
•www.cnbv.gob.mx https://bit.ly/3nvrjHj
•www.diputados.gob.mx – https://bit.ly/3VxyXNP y https://bit.ly/425h0J4
• archivos.juridicas.unam.mx – https://bit.ly/3ARToM6
• sil.gobernacion.gob.mx – https://bit.ly/3AVHSPS