Saltar al contenido
APEX GRC CYBER RISK & COMMAND
Volver a Insights
Incidentes & lecciones 5 min de lectura

Filtraron el pasaporte de Messi y del plantel entero. No fue ransomware: fue una planilla sin tachar.

No hubo un grupo seis meses adentro de la red. Hubo un Excel enviado a la prensa sin tapar los datos, cuando los pasaportes de Islandia, en la misma hoja, sí estaban tapados. Se podía. Nadie lo hizo.

Esta semana se filtró el número de pasaporte de Messi. Y el de Enzo, el del Cuti, el de Julián, el de Mac Allister. El plantel entero.

No fue ransomware ni un grupo con seis meses adentro de la red. Fue una planilla que mandaron a la prensa sin tachar los datos. Y el detalle que más duele: los pasaportes de Islandia, en la misma hoja, sí estaban tapados. Se podía. Nadie lo hizo.

Lo incómodo no es lo que pasó: es a quién le pasó

Si le pasa a la organización más mirada del país, la pregunta es obvia: ¿qué pasa en tu empresa con cada DNI que sube un cliente, o con cada foto de documento que un proveedor deja tirada en una carpeta compartida?

El pasaporte es dato personal. Y el dato personal tiene dueño, ley y autoridad.

Lo que ya exige la ley, y lo que todavía no

La Ley 25.326 rige hace 25 años y la AAIP ya endureció las multas. Pero conviene ser preciso: la obligación de notificar un incidente en 72 horas todavía no es ley para el sector privado. Está en la reforma de protección de datos, dando vueltas en el Congreso.

El día que salga, el cronómetro arranca. Y eso no se improvisa la semana que aparece en el Boletín: una notificación en 72 horas se sostiene con procesos que ya tienen que estar funcionando antes.

El riesgo real es aburrido

Lo de la Selección es el espejo del riesgo más común y menos glamoroso del rubro: el dato que se fuga por un proceso, no por un hacker. Tu Excel con DNIs viajando por mail. La carpeta “compartida con toda la empresa”. El bucket sin contraseña del proveedor que nunca auditaste.

A Messi ya le habían reventado la identidad en 2021, con el hackeo al RENAPER. Aquella vez fue un atacante; esta vez, una planilla mal enviada. El 99% de tus fugas se parecen a la planilla, no al hackeo.

Las preguntas que tu directorio debería poder responder

  • ¿Cuántos documentos de identidad de clientes y empleados están hoy sin tachar y sin control de acceso? ¿Lo sabés o lo suponés?
  • Si mañana uno aparece dando vueltas, ¿quién firma la notificación a la AAIP, y en cuántas horas?
  • Tu verificación de identidad, ¿pide lo mínimo necesario o junta “por las dudas” y acumula riesgo que después tenés que cuidar?
  • ¿Sabés por dónde salen los datos personales de tu organización, o solo sabés por dónde te gustaría que salieran?

Si ninguna de esas preguntas tiene respuesta clara, el papelón de la Selección no es ajeno. Es el ensayo general del tuyo.

Este análisis hace referencia a normativa vigente al momento de su publicación. La regulación cambia: verificá la vigencia y los plazos con la fuente oficial antes de tomar decisiones.

Fuentes

¿Esto le aplica a tu organización?

Si esta pregunta te quedó dando vueltas, hablemos. En 30 minutos te ayudo a ubicar tu exposición real.

Agendá una conversación