Filtración de Capita: Funcionarios británicos accedieron a datos de pensiones ajenos

Una importante filtración de datos en el Plan de Pensiones de la Función Pública del Reino Unido ha vuelto a poner bajo el foco las prácticas de ciberseguridad de Capita, el contratista gubernamental encargado de su administración. El incidente, que ya ha sido notificado a la Oficina del Comisionado de Información (ICO), permitió que algunos pensionistas accedieran a los datos personales y financieros de otros miembros del plan, incluyendo su historial salarial, el monto de sus pensiones y otra información de identificación personal (PII).

Lo que hace particularmente alarmante a esta brecha es que revela un fallo fundamental en los mecanismos de control de acceso. En lugar de estar aislados en sus propios registros, los usuarios pudieron ver inadvertidamente las cuentas de sus colegas. Este tipo de exposición interna de datos, aunque no sea causada por un actor malicioso, representa un grave riesgo para la privacidad y podría ser explotada para el robo de identidad o el fraude financiero.

Este no es un incidente aislado para Capita. La empresa se ha visto afectada por una serie de fallos de seguridad durante el último año. En marzo de 2023, Capita sufrió un grave ataque de ransomware que interrumpió los servicios durante meses y provocó la filtración de datos de múltiples clientes. Investigaciones posteriores revelaron que la postura de seguridad de la empresa era inadecuada, con vulnerabilidades críticas sin parchear y una falta de autenticación multifactor robusta. La actual brecha en las pensiones sugiere que los esfuerzos de remediación han sido insuficientes.

Las implicaciones para el gobierno del Reino Unido son profundas. El Plan de Pensiones de la Función Pública es uno de los fondos de pensiones más grandes del país, cubriendo a más de 1,7 millones de empleados públicos actuales y antiguos. La subcontratación de su administración a Capita tenía como objetivo ahorrar costes, pero esta brecha demuestra los costes ocultos del riesgo de terceros. Cuando un contratista no logra asegurar sus sistemas, la responsabilidad—y el daño reputacional—recae en última instancia sobre el gobierno.

Desde una perspectiva de ciberseguridad, este incidente es un ejemplo clásico de cómo un único punto de fallo puede propagarse por todo un ecosistema. Capita gestiona la administración de pensiones para cientos de organizaciones, tanto públicas como privadas. Una vulnerabilidad en su plataforma central podría exponer potencialmente los datos de docenas de planes diferentes. La brecha también destaca la importancia de contar con protocolos sólidos de gestión de identidades y accesos (IAM). Las organizaciones deben asegurarse de que la segregación de datos se aplica a nivel de aplicación, no solo a nivel de red.

Se espera que la ICO inicie una investigación completa. Si se determina que Capita ha infringido el Reglamento General de Protección de Datos (UK GDPR) del Reino Unido, podría enfrentarse a multas de hasta el 4% de su facturación global. Sin embargo, para los funcionarios afectados, la preocupación inmediata es el posible uso indebido de sus datos. El gobierno ha aconsejado a los pensionistas que vigilen sus cuentas para detectar actividades sospechosas y se ha comprometido a implementar medidas de seguridad adicionales.

Este evento debería servir como una llamada de atención para todas las organizaciones que dependen de proveedores externos. La diligencia debida debe ir más allá de los contratos iniciales e incluir un monitoreo continuo de las prácticas de seguridad. La filtración de pensiones de Capita es un claro recordatorio de que, en la era digital, la confianza no es un sustituto de la verificación.