SINGAPUR – Tripartite Alliance Limited (TAL), la organización que supervisa la Alianza Tripartita para Prácticas de Empleo Justas y Progresivas (Tafep) y se ocupa de los conflictos laborales, recibió una multa de 29.000 dólares después de acceder a datos de unas 20.000 personas por parte de piratas informáticos el año pasado.
La Comisión de Protección de Datos Personales (PDPC) dijo en una decisión reciente que TAL no estableció «arreglos de seguridad razonables» para evitar el acceso no autorizado a los datos en su base de datos del sistema de relaciones con los clientes.
Los datos pirateados incluían nombres, números de identificación, números de contacto, direcciones de correo electrónico, edad, raza, estado civil, salarios y montos de compensación.
Los datos de contacto comerciales de los representantes de la empresa, como el nombre de una persona, el número de teléfono comercial o la dirección de correo electrónico comercial, también se vieron afectados.
Estos registros de unas 12.000 personas y 8.000 empresas, incluidos los representantes de las empresas, se proporcionaron a Tafep el 14 de febrero del año pasado o antes.
Los expertos en seguridad cibernética han dicho en el pasado que los ciberdelincuentes podrían utilizar dicha información para enviar correos electrónicos personalizados de phishing a las víctimas, lo que les permite robar contraseñas o dejar un ransomware que bloquea los archivos digitales hasta que se les pague a los delincuentes.
TAL dijo en un comunicado que había estado investigando y monitoreando el incidente el año pasado, y no hay evidencia de que los piratas informáticos hayan robado los datos.
Pero el PDPC también señaló que los datos no estaban encriptados, lo que los hacía vulnerables a la exposición.
La comisión multó a TAL con $ 29,000 basándose en parte en la gran cantidad de personas afectadas (20,000) y la naturaleza de los datos comprometidos.
«La base de datos contenía detalles de quejas y disputas relacionadas con el empleo», dijo PDPC. «La gente espera un alto nivel de confianza al comunicar estos problemas a la organización».
Pero como mitigación, señaló que no había evidencia de robo de datos y que TAL fue sencillo y tomó «medidas correctivas inmediatas».
TAL fue creado en 2016 por socios tripartitos: el Ministerio de Trabajo, el Congreso Nacional de Sindicatos y la Federación Nacional de Empleadores de Singapur.
La organización promueve prácticas laborales justas y progresivas, además de brindar mediación y asesoramiento sobre disputas relacionadas con el empleo.
PDPC dijo en un fallo del 15 de abril que TAL informó a la comisión el 3 de marzo del año pasado que un servidor que alojaba su sistema de gestión de relaciones con los clientes estaba infectado con ransomware. TAL dijo que el sistema Tafep se infectó el 14 de febrero del año pasado.
TAL utiliza el sistema para atender preguntas, comentarios y quejas relacionadas con el empleo.
El sistema no estaba disponible para los usuarios el 17 de febrero, pero su proveedor pudo restaurarlo usando una copia de seguridad de tres horas.
Posteriormente, las investigaciones descubrieron que el sistema fue afectado por un ataque de ransomware. Pero TAL dijo que aún no ha recibido una solicitud de rescate de los perpetradores.
Los registros de seguridad mostraron que se realizaron intentos de piratería en el servidor de la base de datos del sistema entre el 7 y el 14 de febrero del año pasado.
TAL dijo que desde junio de 2019, ha incluido servicios de monitoreo de seguridad para el sistema de gestión de relaciones con el cliente, como el bloqueo de ataques cibernéticos basados en alertas.
«Sin embargo, se implementó un proceso inadecuado para garantizar que el proveedor (del sistema) monitorea de manera proactiva las alertas y toma acciones para bloquear la actividad maliciosa de manera oportuna», dijo PDPC.
Después del incidente, TAL dijo que tomó medidas para evitar que el resto del sistema de administración de relaciones con los clientes se infectara y restableció las contraseñas de todas las cuentas de usuario en el sistema.
La organización comenzó a monitorear de cerca el soporte para los servicios de tecnología de la información (TI) del proveedor del sistema semanalmente para garantizar actualizaciones oportunas de parches y seguimiento de alertas de seguridad.
TAL también llevó a cabo una revisión para fortalecer su gestión de todos sus proveedores de servicios de TI de terceros, como solicitarles que realicen auditorías de ciberseguridad, evaluación de vulnerabilidades y pruebas de penetración para los sistemas de TI existentes de la organización.
También desactivó el sistema de gestión de relaciones con el cliente afectado.
«Nos gustaría asegurar a las empresas y a las personas que estamos comprometidos a garantizar la seguridad de los datos personales de nuestros clientes», dijo TAL.
Cualquiera que tenga dudas sobre el incidente, o sospeche que su información ha sido mal utilizada por piratas informáticos, puede ponerse en contacto con Tafep en este sitio web.
