Más de 240,000 empleados actuales y anteriores del Departamento de Seguridad Nacional de los EE. UU. Han tenido sus datos personales expuestos a una violación de datos.
En lo que describe eufemísticamente como un “incidente de privacidad”, el DHS dijo que la violación también podría afectar a cualquiera que haya sido parte de una investigación de la Oficina del Inspector General del DHS entre 2002 y 2014.
La violación se descubrió en mayo de 2017, cuando, como parte de una investigación criminal en curso, el DHS descubrió que un ex empleado tenía una copia no autorizada del sistema de administración de casos investigativos de la oficina.
El DHS se esforzó por enfatizar que “la evidencia indica que … la información personal no era el objetivo principal” y que el incidente no fue un “ciberataque de actores externos”.
Pero aún dio lugar a la transferencia no autorizada de la información de identificación personal, incluidos el nombre, el número de seguro social y la posición, de 246,167 empleados del gobierno federal empleados por el DHS en 2014.
Además de eso, afecta a un número indefinido de personas que fueron investigadas por la oficina entre 2002 y 2014; podrían ser sujetos, testigos y demandantes, y no se limita a los empleados de DHS. Esa información podría incluir nombre, número de seguro social, dirección, número de teléfono y fecha de nacimiento.
Se contactó con el personal actual y anterior el 18 de diciembre de 2017, pero el departamento dijo que era “incapaz de dar aviso directo a las personas afectadas por los datos de investigación”.
Anticipando claramente la pregunta de por qué les llevó nueve meses alertar a las personas afectadas después de descubrir la brecha, la declaración enlatada del DHS decía:
La investigación fue compleja dada su estrecha relación con una investigación criminal en curso. De mayo a noviembre de 2017, el DHS llevó a cabo una exhaustiva investigación de privacidad, un extenso análisis forense de los datos comprometidos, una evaluación en profundidad del riesgo para las personas afectadas y evaluaciones técnicas exhaustivas de los elementos de datos expuestos. Estos pasos requerían una estrecha colaboración con los cuerpos de investigación policiales para garantizar que la investigación no se viera comprometida.
En un intento por tranquilizar a las personas de que esto no volvería a suceder, el departamento dijo que estaba colocando “limitaciones adicionales” sobre quién tiene acceso de regreso a los sistemas de administración de casos, así como la implementación de controles de red adicionales para identificar patrones de acceso inusuales.
Además, dijo que sería “realizar una revisión de 360 grados de las prácticas de desarrollo de la OIG de DHS relacionadas con el sistema de gestión de casos”.
Agregó que a cualquier persona potencialmente afectada se le ofrecían 18 meses de servicios gratuitos de monitoreo de crédito y protección de identidad.
