• Tweet

Un empleado de Pfizer, quien sin autorización instaló un software para compartir archivos en una laptop de la compañía, la cual fue proporcionada para el uso en su casa, ha expuesto los números de seguridad social y otros datos personales pertenecientes a cerca de 17,000 empleados actuales y antiguos de la empresa farmacéutica.

La empresa ha alertado a los empleados que pudieran resultar afectados debido a este incidente.

Los directivos de Pfizer no pudieron ser avisados inmediatamente. Pero las copias de estas cartas ya fueron colocadas en varios sitios, incluyendo Pharmalot, un blog que cubre todo respecto a la industria farmacéutica.

El incidente ha solicitado una investigación por el procurador general Richard Blumenthal. En una carta del 6 de junio, Blumenthal pidió los detalles de las medidas tomadas antes de que los datos fueran comprometidos por la brecha de información, así como la información acerca de la fecha del descubrimiento del incidente y la respuesta que dio Pfizer cuando se dio cuenta.

La carta de Blumenthal también solicitó a Pfizer el modo en como la empresa podía distinguir entre los datos que fueron comprometidos y los datos que pudieron haber sido accedidos solamente. La carta que Blumenthal dio a Pfizer debe ser respondida antes del 22 de junio.

De acuerdo a la descripción de Pfizer sobre el incidente en la carta a los empleados, el compromiso de los datos provino del uso del software para compartir archivos en la laptop del empleado.

En la carta del 1 de junio firmada por la consejera general Lisa Goldman no mencionó el modo por el cual la empresa identificó el incidente. Pero dijo que tan pronto como la compañía estuvo enterada, recuperó la laptop del empleado y el software para compartir archivos fue deshabilitado. El sistema fue utilizado para acceder a Internet fuera de la propia red de Pfizer, por lo que no se comprometió algún otro dato. Goldman también se disculpó con los individuos afectados por este hecho.

Pfizer ha contratado un paquete de “ayuda y protección” para todos los individuos afectados. El paquete incluye un año de crédito gratis para el servicio de monitoreo y $25,000 de un seguro que cubre los costos que los individuos pudieron incurrir como resultado del incidente.

Tales incidentes destacan la importancia de implementar controles para prevenir cualquier fuga accidental o deliberado de los datos mediante herramientas para compartir archivos o aplicaciones como los sistemas de mensajes instantáneos, dijo Devin Redmond, director del grupo de productos de seguridad Websense. Tales controles deben incluir medidas para restringir el contenido que se filtra en las entradas de la red, controles en el acceso de los datos y la prevención del acceso de las aplicaciones para compartir archivos.

Las noticias del incidente de Pfizer coinciden con el lanzamiento de un estudio hecho por la Universidad de Dartmouth que identificó los riesgos en las aplicaciones que comparten archivos. El estudio examinó los datos que implican búsquedas P2P y los archivos relacionados con 30 bancos de los Estados Unidos sobre un periodo de siete semanas entre diciembre de 2006 y febrero de 2007. Un número asombrosamente alto de personas que comparte música y otros archivos en un sistema peer to peer, exponen todo tipo de datos bancarios e información personal en sus computadoras.