La empresa mediática Comcast ha aceptado pagar una multa de 1,5 millones de dólares después de que una brecha de datos de un proveedor expusiera información perteneciente a miles de sus clientes. La brecha se produjo dentro de los sistemas de Financial Business and Consumer Solutions, una agencia de cobro de deudas que anteriormente gestionaba cuentas de clientes para Comcast. El proveedor sufrió una intrusión en febrero de 2024, que permitió a los atacantes acceder a archivos que contenían información personal. Los datos expuestos incluían nombres, direcciones, fechas de nacimiento, números de la Seguridad Social y números de cuenta interna utilizados por Comcast.
Comcast afirmó que sus propios sistemas no estaban comprometidos. La brecha se limitó a los datos almacenados por el proveedor. La empresa había terminado su relación con el proveedor en 2022, pero el proveedor siguió reteniendo datos de clientes que deberían haberse eliminado. La intrusión fue comunicada a Comcast en julio de 2024, varios meses después de que ocurriera. Para el momento de la revelación, el proveedor ya se había declarado en bancarrota, lo que complicó aún más la respuesta. Los reguladores determinaron que los datos de los clientes no habían sido eliminados del entorno del proveedor a pesar de la finalización de la relación comercial.
La Comisión Federal de Comunicaciones anunció el acuerdo y dijo que Comcast debe implementar una supervisión más estricta sobre los proveedores de servicios externos que gestionan los registros de los clientes. Según los términos del acuerdo, Comcast nombrará a un responsable de cumplimiento responsable de supervisar las prácticas de datos de los proveedores. La empresa también realizará auditorías periódicas a los proveedores y presentará informes de cumplimiento al regulador cada seis meses durante tres años. Además, Comcast debe asegurarse de que los datos de los clientes se eliminen cuando ya no sean necesarios para fines empresariales.
La brecha afectó a unos 237.000 clientes actuales y antiguos. Los registros comprometidos procedían de servicios de Comcast, incluyendo internet, televisión y seguridad doméstica. La información expuesta podría permitir que actores maliciosos cometan robo de identidad, creen cuentas fraudulentas o intenten estafas dirigidas. Comcast ha contactado con las personas afectadas y les ha aconsejado que vigilen sus cuentas en busca de actividades sospechosas. También ha advertido a los clientes que no respondan a mensajes no solicitados solicitando datos personales o pagos.
Comcast afirmó que aceptaba los términos del acuerdo pero no admitía ninguna irregularidad. La empresa declaró que está comprometida con mejorar la gestión de proveedores y proteger los datos de los clientes. El incidente ha provocado una revisión de cómo se gestionan los datos una vez transferidos a proveedores externos. Comcast ha anunciado que está actualizando sus políticas internas para exigir una verificación más estricta de que los proveedores eliminen la información de los clientes cuando finalicen los contratos.
El caso pone de manifiesto los riesgos asociados al almacenamiento de datos por terceros. Incluso cuando una empresa mantiene controles de seguridad estrictos en sus propios sistemas, la información de los clientes almacenada por proveedores externos puede quedar expuesta si dichos proveedores no implementan protecciones adecuadas. Los reguladores han animado a las empresas a establecer requisitos claros para los proveedores, incluyendo auditorías periódicas y procedimientos documentados de eliminación de datos. No hacerlo puede conllevar multas, pérdida de confianza del cliente y daños reputacionales a largo plazo.
Se anima a los clientes cuya información haya sido expuesta a tratar con cautela los mensajes inesperados y a seguir monitorizando las cuentas financieras. Los ladrones de identidad pueden intentar utilizar datos personales expuestos para abrir cuentas o hacerse pasar por víctimas. Los clientes también pueden considerar utilizar herramientas de monitorización crediticia y colocar alertas de fraude en sus archivos si detectan actividad sospechosa.
El acuerdo subraya la importancia de una supervisión estricta cuando la información de los clientes se comparte con organizaciones externas. Las empresas que gestionan grandes volúmenes de datos personales deben asegurarse de que todos los socios cumplan los mismos estándares de seguridad. Las consecuencias de una brecha de proveedor pueden afectar tanto a los clientes como a la empresa responsable de los datos.