Después del ataque sufrido por el Citigroup, que ha supuesto que más de doscientas diez mil cuentas bancarias se hayan visto comprometidas, los reguladores de la banca estadounidense han declarado que es necesario revisar las actuales medidas de seguridad para evitar este tipo de fugas de información. El caso de Citigroup, desgraciadamente, se ha coronado como el mayor ataque a la banca estadounidense, ha despertado al FDIC (The Federal Deposit Insurance Corp.) que ha decidido preparar nuevos dictámenes que obliguen a las entidades bancarias a fortalecer sus sistemas de autentificación y mejorar las garantías de los usuarios cuando utilizan servicios de banca electrónica.
El caso del Citigroup, la tercera entidad bancaria de Estados Unidos, tiene intranquilos a más de doscientos mil usuarios cuyos datos personales y números de cuenta han sido robados, en un panorama en el que, prácticamente, cada semana conocemos más de un ataque que consigue robar datos: el INTECO en España, el contratista militar Lockheed Martin o los numerosos ataques a Sony. De hecho, para Citigroup no es la primera vez porque, de manera indirecta, sufrió un robo con los datos de sus clientes cuando Epsilon, una empresa de marketing por email, sufrió un ataque en el que le robaron los datos que sus clientes les habían pasado para realizar campañas.
Lo inquietante del caso de Citigroup es que el ataque se detectó a principios de mayo pero, hasta que el Financial Times no lo reportó ayer, realmente, no ha salido a la luz pública y los clientes no se han enterado. A algunos miembros del Congreso de Estados Unidos, que se produzcan ataques y los afectados sean de los últimos en enterarse, básicamente, no hace ninguna gracia. La Congresista Mary Bono Mack, por ejemplo, está preparando una ley que obligue a las entidades, que han sufrido un cibertaque, a informar inmediatamente a los usuarios. Por otro lado, el Congresista Jim Langevin ha comentado que:
Me quedé impactado al conocer que el Citigroup conocía que los datos de sus usuarios habían sido expuestos durante el mes de Mayo y que hasta ahora, un mes más tarde, se informe al público de esta amenaza a sus datos personales
El caso es que en un mundo en el que los ciberataques son, cada vez más, habituales, el sector bancario estadounidense se basa en unos protocolos de seguiridad para banca electrónica que se definieron en el año 2005 y que, previsiblemente, estén obsoletos. Si bien, a finales del año pasado, se intentaron actualizar pero no han llegado a entrar en vigor.
Viendo este panorama, las grandes compañías, como los bancos, que manejan un gran volumen de datos sensibles deberían tener una regulación mucho más estricta que garantice la seguridad de los datos personales de sus clientes.