Después de una investigación interna, la Oficina de Aduanas y Protección Fronteriza (CBP) de E.U. descubrió que los datos biométricos de miles de personas se administran sin las medidas de seguridad adecuadas, lo que generó una filtración de información.
Todo comenzó cuando CBP lanzó el programa piloto de Vehicle Face System, operado por el subcontratista Perceptics, que transfirió copias de los datos biométricos resguardados por CBP a su propia red empresarial.
Perceptics obtuvo acceso a esta información sin autorización o conocimiento de CBP por casi medio año, lo que generó una brecha de datos del Departamento de Seguridad Nacional derivada de un incidente en la compañía subcontratista, que se convirtió en víctima de un ataque de hacking. Poco después, la información comprometida ya se encontraba a la venta en foros de hacking en dark web.
Durante el incidente se vieron comprometidas más de 184 mil imágenes de viajeros que han cruzado por algún punto fronterizo desde la implementación del programa piloto. En su informe, la Oficina del Inspector General (OIG) concluyó que: “CBP no protegió de forma adecuada los datos confidenciales, que fueron almacenados en una implementación sin cifrado”.
Además se menciona que los miembros de Perceptics comprometieron de forma indirecta los protocolos de seguridad que deberían proteger esta información, sin mencionar que también se violan las normas del Departamento de Seguridad Nacional, que mencionan que la información personal debe ser protegida de forma adecuada.
Las autoridades estadounidenses hicieron una serie de recomendaciones a CBP, entre las que destacan:
- Restricciones al uso de dispositivos USB
- Implementación de un cifrado fuerte
- Evaluación continua de cualquier tercero que intervenga en la recopilación de datos biométricos
La Oficina del Programa Biométrico de Entrada y Salida de CBP se ha centrado principalmente en las salidas aéreas, comenzando con un programa piloto en nueve aeropuertos de todo el país en 2017.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.