La Superintendencia de Industria y Comercio (SIC) de Colombia impuso una multa superior a $700 millones a Scotiabank Colpatria tras confirmar que un exempleado filtró y vendió datos de clientes a un call center. Diferentes reportes hablan de centenares de miles de afectados (cifras que oscilan entre 67 mil y más de 700 mil registros); El Colombiano y El Tiempo citan 712.371. Más allá del monto, el caso expone una falla de controles internos, monitoreo de accesos y gobierno de datos en banca—riesgos que cualquier organización latinoamericana comparte hoy.

---

Qué pasó (en simple)

• Hecho sancionado: fuga y venta de bases de datos de clientes por parte de un exempleado; la SIC sanciona a la entidad por fallas en la protección de datos.
• Magnitud reportada: medios como El Colombiano y El Tiempo mencionan ≈712 mil clientes afectados; otras coberturas varían entre 67 mil y 790 mil.
• Detalle adicional: se menciona multa individual a un funcionario.

---

El ángulo correcto (para directorios y C-suite)

No es un “ataque externo” clásico: es abuso de privilegios + déficit de gobierno. El riesgo real aparece cuando identidad, procesos y datos no están bajo control continuo. Señales de alerta que debieron saltar:

1. Extracciones masivas/atípicas desde cuentas privilegiadas.
2. Envíos a correo personal o destinos no autorizados.
3. Uso comercial de datos por terceros sin base legal.

---

10 controles accionables

1. IAM de mínimo privilegio con revisiones trimestrales y MFA resistente a phishing.
2. DLP + CASB/EDR para bloquear exportaciones (correo personal, archivos, impresiones).
3. Detección de comportamiento (UEBA) para exfiltración por insiders.
4. Segregación de funciones: ningún rol puede extraer + aprobar + transferir.
5. Tokenización de identificadores críticos (RUT/ID, tarjetas) y listas blancas de uso.
6. Trazabilidad completa: access logs firmados, alertas por volúmenes/horarios inusuales.
7. Contratos con terceros con right-to-audit, clean rooms y salidas agregadas.
8. Ciclo de bajas: revocación inmediata al término de contrato/rol; offboarding con checklist.
9. Pruebas de mesa semestrales de fuga interna (red team de datos).
10. Comunicaciones internas: tolerancia cero a uso secundario de datos y canal seguro de denuncia.

---

Qué habrían cambiado estos 5 “mínimos”

• Vault de tokenización + monitoreo 24/7 → datos inútiles fuera del perímetro autorizado.
• DLP en correo → bloqueo de adjuntos/listas masivas a cuentas personales.
• Alertas UEBA → detección temprana de extracción anómala.
• Señalización contractual a proveedores → sin “compra de bases” ni lead gen opaco.
• Revocación de accesos inmediata al término del vínculo laboral.

---

Marco comparado: si esto ocurriera en Chile

• Ley 21.719 (Protección de Datos): sanciones hasta 20.000 UTM por infracciones gravísimas, con recargos por no subsanar y % de ingresos en reincidencia (no-MYPE). Notificación y EIPD/DPIA cuando el riesgo es alto.
• Ley 21.459 (Delitos Informáticos): sanciona acceso ilícito, interceptación, fraude informático y abuso de dispositivos (multas y presidio).
• Ley 21.663 (Marco de Ciberseguridad): en “instituciones determinadas” (p. ej., banca crítica), multas hasta 20.000 UTM (y 40.000 si OIV), deberes de gestión y reporte al CSIRT/ANCI.
• CMF Chile: refuerza seguridad, continuidad y reportabilidad en el sector financiero (controles de tesorería/pagos, gestión de incidentes).
• AEPD (UE/GDPR) y NIST: buenas prácticas para minimización, seudonimización/anonimización, y gobierno NIST CSF 2.0 / NIST Privacy Framework, útiles como benchmark transversal.

---

Revisa la noticia completa aquí: https://www.elcolombiano.com/negocios/sic-sancion-millonaria-scotiabank-colpatria-filtracion-datos-colombia-FM29342968