Site icon Sophos News

Multa millonaria a Morgan Stanley por vender dispositivos llenos de información personal de clientes

Morgan Stanley, que se autodenomina en su web como “líder mundial en servicios financieros”, y que afirma en la frase inicial de su página principal que “los clientes son lo primero”, ha sido multado con 35.000.000 USD por la Comisión de Valores de Estados Unidos (SEC) por vender en línea antiguos dispositivos de hardware, incluyendo miles de unidades de disco, que todavía estaban cargados con información personal identificable (PII) perteneciente a sus clientes.

Estrictamente hablando, no se trata de una condena penal, por lo que la sanción no es técnicamente una multa, pero “no es una multa”, del mismo modo que los propietarios de coches en Inglaterra ya no reciben multas de aparcamiento, sino que pagan por avisos de penalización.

Además, estrictamente hablando, Morgan Stanley no vendió directamente los dispositivos infractores.

Pero la empresa contrató a otra persona para que hiciera el trabajo de borrar y vender los equipos, y luego no se preocupó en vigilar el proceso para asegurarse de que se hiciera correctamente.

La historia completa

El documento oficial de la SEC sobre el asunto, el expediente de procedimiento administrativo número 3-21112, es una lectura realmente útil para cualquier persona que trabaje en el ámbito de las operaciones de seguridad o la ciberseguridad.

Con 11 páginas, no es demasiado largo para leerlo en su totalidad, y la historia que cuenta es fascinante, revelando numerosos giros y vueltas, cambios no autorizados de subcontratistas, falta de supervisión y seguimiento, y atajos imprudentes.

Si tienes algo que ver con la eliminación segura de equipos redundantes, no dejes de leer el documento final de la SEC, y asegúrate de que tus propias políticas y procedimientos tienen en cuenta los fallos descritos en el informe.

En particular, asegúrate de que has hecho, estás haciendo y harás un trabajo mejor que el de Morgan Stanley:

Como se relata en el informe de la SEC sobre la lamentable voluntariedad (la segunda palabra es la que la SEC utiliza oficial y formalmente con respecto a Morgan Stanley), hay muchas cosas que pueden salir mal cuando uno se deshace del viejo equipo informático.

Sin embargo, los puntos principales de la historia se cuentan de forma sencilla en el resumen de la SEC, a saber, que Morgan Stanley, a través de un contratista:

Lo barato sale caro

En el primer caso, que se remonta a 2016, parece que el contratista elegido por Morgan Stanley, quizá al darse cuenta de que la empresa no estaba controlando la fidelidad con la que se seguía el proceso de borrado y venta, decidió cambiar a un nuevo (y no aprobado) subcontratista que, al parecer, se saltó la parte de “borrarlo primero”, y directamente puso a la venta los dispositivos retirados en un sitio de subastas online.

Alguien en Oklahoma compró algunas de las viejas unidades, presumiblemente como repuestos en caliente para su propia operación de TI, y se dio cuenta de que todavía estaban llenas de datos de clientes de Morgan Stanley.

Según la SEC, el comprador se puso en contacto con Morgan Stanley y le dijo: “Sois una institución financiera importante y deberíais seguir unas directrices muy estrictas sobre cómo tratar el hardware que se retira. O, como mínimo, obtener algún tipo de verificación de la destrucción de los datos por parte de los proveedores a los que venden los equipos”.

Morgan Stanley acabó comprando esos discos, pero no se ocupó de ninguno de los otros discos que se habían vendido en otros lugares.

De hecho, la SEC señala que Morgan Stanley volvió a comprar otros 14 discos con datos contaminados a otra persona en junio de 2021, todavía sin borrar, que seguían funcionando bien y que aún contenían “al menos 140.000 datos personales de clientes”.

Como señala irónicamente la SEC, “la gran mayoría de los discos duros del desmantelamiento del centro de datos de 2016 siguen desaparecidos.”

Estamos seguros de que pudimos haber cifrado algo

En el segundo caso, los dispositivos retirados eran servidores de caché WAN (red de área amplia) utilizados por las sucursales para optimizar el ancho de banda de Internet con el fin de acelerar el acceso a los documentos comunes.

Irónicamente, estos dispositivos tenían una opción de cifrado de paquetes de datos almacenados que habría simplificado enormemente el desmantelamiento.

Al fin y al cabo, si puedes demostrar que activaste la opción de cifrado y que borraste todas las copias conocidas de la clave de descifrado, los reguladores de protección de datos de muchos países considerarán que los datos cifrados también han sido borrados.

Los datos que se consideran indescifrables no tienen más sentido que un repollo digital rallado.

Pero, al parecer, Morgan Stanley no activó la opción de descifrado hasta al menos un año después de que los dispositivos entraran en funcionamiento y el cifrado sólo se aplicaba a los nuevos datos que se escribían posteriormente en el dispositivo, no a lo que había antes.

Así que todo lo que Morgan Stanley puede “probar”, para los 42 dispositivos que todavía están por ahí en alguna parte, es que cada dispositivo casi seguro que contiene al menos algunos datos de clientes que definitivamente no están cifrados.

¿Qué hacer?

No podemos resistirnos a terminar con la rima que utilizamos a menudo para advertir sobre los riesgos de compartir demasiado en las redes sociales, porque se aplica igualmente a los datos almacenados por el mayor departamento de TI.

En caso de duda, no lo hagas.

Exit mobile version