Comcast acordó pagar una multa de 1.5 millones de dólares para resolver una investigación de la Comisión Federal de Comunicaciones (FCC) relacionada con una brecha de datos ocurrida en febrero de 2024.
El incidente no ocurrió directamente en los sistemas de Comcast, sino en los de Financial Business and Consumer Solutions (FBCS), una empresa de cobro de deudas que había dejado de trabajar con Comcast dos años antes del ataque.
¿Qué pasó exactamente?
Entre el 14 y el 26 de febrero de 2024, atacantes accedieron a los sistemas de FBCS y sustrajeron información personal y financiera.
Inicialmente, se creyó que la brecha afectaba a 1.9 millones de personas. Sin embargo, la cifra fue aumentando progresivamente hasta llegar a 4.2 millones de personas afectadas en total.
En el caso específico de Comcast, 273,703 clientes actuales y anteriores resultaron impactados.
¿Qué información fue comprometida?
Los datos robados incluyeron:
Nombres completos
Direcciones físicas
Números de Seguro Social
Fechas de nacimiento
Números de cuenta de Comcast
Los clientes afectados habían utilizado servicios de la marca Xfinity, incluyendo internet, televisión, streaming, VoIP y seguridad para el hogar.
Notificación tardía del incidente
FBCS notificó a Comcast el 15 de julio de 2024, es decir, cinco meses después del ataque.
Previamente, en marzo, la empresa había asegurado que la brecha no afectaba a clientes de Comcast, información que posteriormente resultó incorrecta.
Además, FBCS se declaró en bancarrota antes de revelar públicamente la brecha en agosto de 2024.
Medidas correctivas exigidas por la FCC
Como parte del acuerdo con la FCC, Comcast deberá implementar un plan de cumplimiento que incluye:
Mayor supervisión de proveedores que manejen datos de clientes
Garantizar la eliminación adecuada de información que ya no sea necesaria
Nombrar un oficial de cumplimiento
Realizar evaluaciones de riesgo a proveedores cada dos años
Presentar reportes de cumplimiento cada seis meses durante tres años
Reportar violaciones materiales en un plazo máximo de 30 días
Estas medidas se alinean con lo establecido en la Cable Communications Policy Act de 1984, que regula la protección de datos de clientes en el sector de telecomunicaciones.
Postura de Comcast
Comcast declaró a Reuters que no fue responsable del incidente y que no admite irregularidades. La empresa señaló que su red no fue vulnerada y que FBCS tenía la obligación contractual de cumplir con requisitos de seguridad.
Perfil de la compañía
Comcast es una empresa multinacional estadounidense de telecomunicaciones, medios y entretenimiento. Es la cuarta compañía de telecomunicaciones más grande del mundo por ingresos, solo detrás de AT&T, Verizon y China Mobile.
En 2024 reportó ingresos por 123.7 mil millones de dólares, cuenta con más de 182,000 empleados y atiende a cientos de millones de clientes a nivel global.
