Inai y Profeco investigan vulneración a Ticketmaster; entre usuarios, zozobra

Ticketmaster, empresa dedicada a la venta de boletos para eventos de entretenimiento, sufrió un ciberataque en una base de datos que tenía alojada en la nube, por lo que la información de millones de usuarios de México y Estados Unidos quedó expuesta, según informó la compañía a algunos clientes, notificados a través de un correo electrónico el pasado 13 de julio.

Al respecto, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) y la Procuraduría Federal del Consumidor (Profeco) investigarán los hechos y darán seguimiento a la divulgación de información personal de los clientes afectados.

El correo enviado a algunos de los usuarios informó que la vulneración ocurrió entre el 2 de abril y el 18 de mayo de 2024 y resultado de esto, los ciberatacantes habrían obtenido información básica de contacto y de formas de pago de los clientes.

“El tercero no autorizado podría haber obtenido su nombre, información básica de contacto, así como información de tarjetas de pago, como números de tarjetas de crédito o débito cifrados y fechas de vencimiento”, se lee en las capturas de los correos electrónicos que algunas personas subieron a redes sociales.

En el e-mail, la empresa aseguró que el suceso ya es investigado a fondo en colaboración con expertos en ciberseguridad y que colaborarán con las autoridades correspondientes, además de que presentaron una denuncia formal por la vulneración que tuvieron; y tras el ataque, adoptaron mayores medidas de seguridad para proteger sus sistemas e información de sus clientes, como “la rotación de las contraseñas de todas las cuentas asociadas a la base de datos en la nube que fue afectada, la revisión de los permisos de acceso y el aumento de los mecanismos de alerta”.

También recomendó a sus clientes mantenerse alerta, así como monitorear cuentas, estados bancarios e informes de crédito como el portal de Buró de Crédito, con el fin de detectar alguna actividad sospechosa, incluso ofreció sin costo, durante un año, que los usuarios pudieran hacer uso de la plataforma de monitoreo de identidad TransUnion.

La empresa indicó que la cuenta de Tickermaster no fue afectada por el incidente, pero recomendó a sus clientes mantenerse al pendiente por cualquier intento de phishing.

La Razón consultó a la compañía boletera sobre este incidente que, según estimaciones, afectó a millones de usuarios; no obstante, al cierre de la edición no hubo respuesta.

La Profeco informó que solicitará un informe a Ticketmaster sobre el problema y las medidas que ha tomado para que los consumidores no sean afectados. Además, dijo estar al pendiente para recibir las quejas de los usuarios.

Por su parte el Inai sostuvo que iniciará una investigación de oficio por la presunta divulgación de datos personales de Ticketmaster, ya que, de acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), las empresas privadas o personas morales o físicas que traten datos personales están obligadas a cumplir con los principios, deberes y obligaciones previstos en la norma.

El Inai dijo que se mantiene atento a las denuncias que pudieran presentar las personas afectadas por una posible divulgación de sus datos personales a fin de iniciar los procedimientos correspondientes.

Fiorentina García Miramón, cofundadora de Tec-Check, organización civil de consumidores en línea, señaló a La Razón que, ante el caso de vulneración de datos personales, hace falta concientización sobre el valor que tienen los datos personales, sobre todo en la población consumidora, pues de esa forma las personas pueden exigir proactivamente sus derechos ARCO (Derechos de Acceso, Rectificación, Cancelación y Oposición) y también, el Inai debe tener un rol más activo, y no sólo se enfoque preventivo, sino en la investigación y en la sanción cuando se demuestre que hubo vulneración.

Añadió que lo primero que se debe hacer es acudir ante este organismo y en el caso de datos financieros o patrimoniales, ante la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

Sin embargo, mencionó que cuando suceden este tipo de vulneraciones a la ciberseguridad, las consecuencias no se reflejan inmediatamente, pues la información puede ser usada para el envío de publicidad o hasta la suplantación de identidad, “eso no ocurre inmediatamente, habrá que esperar cuáles podrían ser las consecuencias”.

Fortinet publicó el estudio Brecha de habilidades en ciberseguridad 2024 y estimó que al menos 87 por ciento de mil 850 organizaciones de Latinoamérica y el Caribe han sufrido un ciberataque, debido a la falta de competencias en ciberseguridad.