Morgan Stanley, que se autodenomina en su web como “líder mundial en servicios financieros”, y que afirma en la frase inicial de su página principal que “los clientes son lo primero”, ha sido multado con 35.000.000 USD por la Comisión de Valores de Estados Unidos (SEC) por vender en línea antiguos dispositivos de hardware, incluyendo miles de unidades de disco, que todavía estaban cargados con información personal identificable (PII) perteneciente a sus clientes.
Today we announced charges against Morgan Stanley Smith Barney LLC stemming from the firm’s extensive failures to protect the personal identifying information of approximately 15 million customers. MSSB has agreed to pay a $35 million penalty to settle the SEC charges.
— U.S. Securities and Exchange Commission (@SECGov) September 20, 2022
Estrictamente hablando, no se trata de una condena penal, por lo que la sanción no es técnicamente una multa, pero “no es una multa”, del mismo modo que los propietarios de coches en Inglaterra ya no reciben multas de aparcamiento, sino que pagan por avisos de penalización.
Además, estrictamente hablando, Morgan Stanley no vendió directamente los dispositivos infractores.
Pero la empresa contrató a otra persona para que hiciera el trabajo de borrar y vender los equipos, y luego no se preocupó en vigilar el proceso para asegurarse de que se hiciera correctamente.
La historia completa
El documento oficial de la SEC sobre el asunto, el expediente de procedimiento administrativo número 3-21112, es una lectura realmente útil para cualquier persona que trabaje en el ámbito de las operaciones de seguridad o la ciberseguridad.
Con 11 páginas, no es demasiado largo para leerlo en su totalidad, y la historia que cuenta es fascinante, revelando numerosos giros y vueltas, cambios no autorizados de subcontratistas, falta de supervisión y seguimiento, y atajos imprudentes.
Si tienes algo que ver con la eliminación segura de equipos redundantes, no dejes de leer el documento final de la SEC, y asegúrate de que tus propias políticas y procedimientos tienen en cuenta los fallos descritos en el informe.
En particular, asegúrate de que has hecho, estás haciendo y harás un trabajo mejor que el de Morgan Stanley:
- Las políticas de retirada de equipos y destrucción de datos.
- La forma de elegir a los contratistas de destrucción de datos para los dispositivos antiguos.
- Los procedimientos que sigues para controlar el progreso.
Como se relata en el informe de la SEC sobre la lamentable voluntariedad (la segunda palabra es la que la SEC utiliza oficial y formalmente con respecto a Morgan Stanley), hay muchas cosas que pueden salir mal cuando uno se deshace del viejo equipo informático.
Sin embargo, los puntos principales de la historia se cuentan de forma sencilla en el resumen de la SEC, a saber, que Morgan Stanley, a través de un contratista:
- Vendió aproximadamente 4900 activos que contenían información de identificación personal de clientes, muchos de los cuales todavía tenían esa información de identificación personal cuando llegaron a sus nuevos propietarios.
- Desmanteló 500 dispositivos de almacenamiento en caché de la red que contenían IIP de clientes que, en el mejor de los casos, estaban parcialmente cifrados, de los cuales 42 estaban en paradero desconocido después de su supuesta “eliminación”.
Lo barato sale caro
En el primer caso, que se remonta a 2016, parece que el contratista elegido por Morgan Stanley, quizá al darse cuenta de que la empresa no estaba controlando la fidelidad con la que se seguía el proceso de borrado y venta, decidió cambiar a un nuevo (y no aprobado) subcontratista que, al parecer, se saltó la parte de “borrarlo primero”, y directamente puso a la venta los dispositivos retirados en un sitio de subastas online.
Alguien en Oklahoma compró algunas de las viejas unidades, presumiblemente como repuestos en caliente para su propia operación de TI, y se dio cuenta de que todavía estaban llenas de datos de clientes de Morgan Stanley.
Según la SEC, el comprador se puso en contacto con Morgan Stanley y le dijo: “Sois una institución financiera importante y deberíais seguir unas directrices muy estrictas sobre cómo tratar el hardware que se retira. O, como mínimo, obtener algún tipo de verificación de la destrucción de los datos por parte de los proveedores a los que venden los equipos”.
Morgan Stanley acabó comprando esos discos, pero no se ocupó de ninguno de los otros discos que se habían vendido en otros lugares.
De hecho, la SEC señala que Morgan Stanley volvió a comprar otros 14 discos con datos contaminados a otra persona en junio de 2021, todavía sin borrar, que seguían funcionando bien y que aún contenían “al menos 140.000 datos personales de clientes”.
Como señala irónicamente la SEC, “la gran mayoría de los discos duros del desmantelamiento del centro de datos de 2016 siguen desaparecidos.”
Estamos seguros de que pudimos haber cifrado algo
En el segundo caso, los dispositivos retirados eran servidores de caché WAN (red de área amplia) utilizados por las sucursales para optimizar el ancho de banda de Internet con el fin de acelerar el acceso a los documentos comunes.
Irónicamente, estos dispositivos tenían una opción de cifrado de paquetes de datos almacenados que habría simplificado enormemente el desmantelamiento.
Al fin y al cabo, si puedes demostrar que activaste la opción de cifrado y que borraste todas las copias conocidas de la clave de descifrado, los reguladores de protección de datos de muchos países considerarán que los datos cifrados también han sido borrados.
Los datos que se consideran indescifrables no tienen más sentido que un repollo digital rallado.
Pero, al parecer, Morgan Stanley no activó la opción de descifrado hasta al menos un año después de que los dispositivos entraran en funcionamiento y el cifrado sólo se aplicaba a los nuevos datos que se escribían posteriormente en el dispositivo, no a lo que había antes.
Así que todo lo que Morgan Stanley puede “probar”, para los 42 dispositivos que todavía están por ahí en alguna parte, es que cada dispositivo casi seguro que contiene al menos algunos datos de clientes que definitivamente no están cifrados.
¿Qué hacer?
- Puedes externalizar su ciberseguridad, pero no puedes externalizar tu responsabilidad. Asegúrate de que cumples con la normativa de protección de datos haciendo un seguimiento de cómo la cumplen también tus proveedores. Parte de la queja de la SEC contra Morgan Stanley es que debería haber sido obvio que el operador elegido se había desviado del plan oficial y, por tanto, que la empresa podría haber evitado fácilmente incumplir la normativa y poner en riesgo a sus clientes.
- El cifrado completo de los dispositivos puede ayudar a cumplir las normas de protección de datos. Los datos cifrados correctamente sin la clave de descifrado son en realidad sólo ruido aleatorio, por lo que muchos reguladores de la protección de datos tratan los discos “no descifrables” como si hubieran sido borrados o nunca hubieran contenido ningún dato. Pero tienes que poder demostrar que activaste el cifrado correctamente en primer lugar, y que cualquiera que adquiera el disco en el futuro no podrá conseguir la clave de descifrado.
- En caso de duda, opta por la destrucción del dispositivo, no por el borrado y la venta. Hay buenas razones medioambientales para no destruir y reciclar todos los dispositivos informáticos que se retiran del servicio, pero la reutilización de los equipos antiguos tiene un rendimiento decreciente. Incluso los dispositivos de gran tamaño pueden ser “triturados” físicamente, dejando sus metales abiertos a la recuperación, pero no sus datos. Si no puedes reutilizarlo, no te molestes en vendérselo a otra persona que, en última instancia, podría no deshacerse de él tan bien como tú. Deshazte de tus dispositivos de forma responsable.
- Los datos personales mal gestionados pueden aparecer años después de haberlos perdido. A diferencia de los desechos de jardín en el cubo de la basura o de las bicicletas viejas tiradas al canal, los dispositivos de almacenamiento de datos extraviados pueden aparecer en perfecto estado, con todos sus datos originales intactos, después de años de haber asumido que se habían perdido sin dejar rastro, o que se habían eliminado sin posibilidad de reparación.
No podemos resistirnos a terminar con la rima que utilizamos a menudo para advertir sobre los riesgos de compartir demasiado en las redes sociales, porque se aplica igualmente a los datos almacenados por el mayor departamento de TI.
En caso de duda, no lo hagas.