La Agencia de Privacidad de California sanciona a Datamasters por venta ilegal de datos personales y de salud

Introducción

La Agencia de Protección de la Privacidad de California (CalPrivacy) ha iniciado acciones regulatorias contra Datamasters, una firma de marketing señalada por la venta no autorizada de datos personales y de salud de millones de usuarios. Esta intervención marca un precedente en la aplicación estricta de las normativas estatales, reflejando una tendencia creciente hacia la protección de los derechos digitales en el contexto estadounidense y global, especialmente tras la entrada en vigor de marcos regulatorios más exigentes, como la Ley de Privacidad del Consumidor de California (CCPA) y su actualización con la CPRA.

Contexto del Incidente

Datamasters, una empresa con sede en California, se dedicaba a la recopilación, agregación y venta de información personal y sanitaria de usuarios sin haberse registrado como “data broker” ante el registro estatal, tal como exige la legislación local desde el 1 de enero de 2020. El caso salió a la luz tras una investigación de CalPrivacy, que detectó la comercialización masiva de datos sensibles a terceras entidades con fines comerciales y publicitarios, sin el consentimiento expreso de los titulares ni mecanismos de exclusión (“opt-out”).

El incumplimiento de Datamasters se produce en el contexto de una creciente preocupación por la explotación de datos de salud, especialmente tras la pandemia de COVID-19, que ha acelerado la digitalización de historiales médicos y el intercambio de información entre proveedores de servicios y terceros.

Detalles Técnicos

El procesamiento y comercialización de los datos por parte de Datamasters incluía identificadores personales (PII), historiales médicos, registros de prescripciones, datos de localización y hábitos de consumo relacionados con la salud. Se han identificado vectores de ataque y exposición relacionados con APIs mal configuradas, bases de datos en la nube sin protección adecuada (por ejemplo, buckets S3 abiertos), y el uso de plataformas de email marketing sin controles de acceso robustos.

Aunque no se ha publicado un CVE asociado a la filtración, el incidente exhibe técnicas alineadas con los TTPs del grupo ATT&CK de MITRE, en particular los relacionados con la extracción y exfiltración de datos (TA0009: Exfiltration, T1020: Automated Exfiltration). Los indicadores de compromiso (IoCs) apuntan a transferencias masivas de archivos CSV y JSON a servidores externos y la utilización de herramientas de scraping automatizado.

Según la investigación de CalPrivacy, Datamasters operaba sin mecanismos de anonimización sólidos ni procesos de minimización de datos, vulnerando los principios de privacidad por diseño y por defecto exigidos tanto por la CCPA/CPRA como por el GDPR europeo.

Impacto y Riesgos

La magnitud del incidente es significativa: fuentes oficiales estiman que Datamasters habría comercializado los datos de entre 5 y 8 millones de usuarios estadounidenses, incluyendo residentes en California. Los riesgos asociados abarcan desde campañas de phishing dirigidas y fraudes de identidad, hasta la discriminación en el acceso a servicios médicos o financieros.

El hecho de que la información incluya datos de salud amplifica la sensibilidad del incidente, ya que expone a los afectados a posibles extorsiones, suplantación de identidad médica y otras formas de abuso. Desde el punto de vista empresarial, la falta de cumplimiento puede derivar en sanciones administrativas, demandas colectivas y daños reputacionales severos.

Medidas de Mitigación y Recomendaciones

Ante incidentes de este tipo, los expertos recomiendan adoptar controles técnicos y organizativos robustos:

– Registro obligatorio como “data broker” y evaluación continua de riesgos.
– Implementación de mecanismos de consentimiento granular y gestión de preferencias de privacidad (Privacy Preference Center).
– Cifrado de datos en reposo y en tránsito, con rotación periódica de claves.
– Auditoría y monitorización de accesos a bases de datos mediante SIEM y DLP.
– Minimización y anonimización de datos personales y de salud.
– Pruebas regulares de penetración (pentesting) y revisión de la superficie de exposición (por ejemplo, escaneo de buckets S3 públicos).
– Formación continua del personal en privacidad y cumplimiento normativo.

Opinión de Expertos

Raquel Jiménez, CISO de una multinacional del sector sanitario, señala: “La falta de registro y transparencia en la gestión de datos es un riesgo crítico que puede suponer sanciones millonarias y pérdida de confianza por parte de pacientes y usuarios. Además, la tendencia regulatoria es clara: cero tolerancia frente a la opacidad”.

Por su parte, Andrés Gómez, analista de amenazas, apunta: “La explotación de APIs y bases de datos sin controles de acceso sigue siendo uno de los vectores más habituales en este tipo de exposiciones. La segmentación de redes y el principio de mínimo privilegio son imprescindibles”.

Implicaciones para Empresas y Usuarios

El caso Datamasters es una advertencia para cualquier organización que procese datos personales o de salud, independientemente de su tamaño o sector. Para las empresas, el cumplimiento de la CCPA/CPRA, así como de normativas internacionales (GDPR, NIS2), deja de ser una cuestión opcional para convertirse en un requisito imprescindible de negocio.

Los usuarios, por su parte, deben ejercer de forma activa sus derechos de acceso, rectificación y exclusión, y utilizar las herramientas que la ley pone a su disposición para limitar la huella digital.

Conclusiones

La actuación de la Agencia de Privacidad de California contra Datamasters refuerza la necesidad de un enfoque proactivo en la gestión de datos personales y de salud. La transparencia, la seguridad y el cumplimiento normativo no solo son obligaciones legales, sino también elementos clave en la construcción de la confianza digital. El sector debe prepararse para un escrutinio cada vez mayor y adoptar una cultura de privacidad por defecto.

(Fuente: www.bleepingcomputer.com)