El Gobierno de Canadá acaba de cerrar un acuerdo de $8.7 millones para resolver una demanda colectiva relacionada con la filtración de datos que expuso la información personal de decenas de miles de usuarios en portales federales, entre ellos las cuentas de la Agencia de Ingresos de Canadá (CRA). A continuación te explicamos en detalle qué ocurrió, quiénes pueden recibir compensación y cómo protegerte en el futuro.
Antecedentes del caso
¿Qué sucedió?
Entre julio y agosto de 2020, ciberdelincuentes aprovecharon técnicas de credential stuffing—es decir, reutilizaron combinaciones de correo y contraseña filtradas en otros sitios—para ingresar a los portales del Gobierno de Canadá que usan el sistema GCKey. El ataque afectó principalmente:
- Cuentas de la CRA (para impuestos, beneficios y subsidios como el CERB).
- Servicios en línea de Empleo y Desarrollo Social de Canadá (ESDC).
Al detectar actividad sospechosa, Ottawa suspendió temporalmente el acceso en línea; sin embargo, para entonces los atacantes ya habían comprometido más de 48 000 cuentas.
Datos que pudieron verse comprometidos
Los hackers obtuvieron información sensible, que varía de persona a persona, incluyendo:
- Número de Seguro Social (SIN)
- Historial de impuestos y declaraciones
- Datos bancarios empleados para depósitos directos
- Dirección y fecha de nacimiento
El acuerdo de 8.7 millones de dólares
La demanda colectiva sostiene que la falta de medidas de seguridad adecuadas y notificación oportuna ocasionó pérdidas financieras y estrés a los afectados. Para evitar un juicio prolongado, el gobierno federal aceptó pagar $8.7 M que se dividirán en:
- Compensación base para las víctimas del robo de identidad o fraude.
- Reembolso de gastos razonables (p. ej., servicios de monitoreo crediticio, tarifas bancarias, tiempo invertido en resolver el problema).
- Honorarios legales y costos administrativos del proceso.
¿Quiénes pueden recibir dinero?
Forman parte de la clase todas las personas que:
- Tuvieron una cuenta CRA o GCKey comprometida entre marzo y septiembre de 2020; y
- Sufrieron robo de identidad, fraude o gastos derivados de esa intrusión.
No es necesario ser ciudadano canadiense; también residentes temporales y trabajadores extranjeros resultaron afectados, incluidos muchos latinos radicados en Toronto.
Pasos para presentar una reclamación
El tribunal fijará un plazo específico—todavía por anunciar—para enviar tu solicitud. Mientras tanto:
- Reúne documentación: reportes policiales, correos de la CRA confirmando el acceso no autorizado, estados bancarios con cargos fraudulentos, recibos de servicios de protección de identidad, etc.
- Visita el sitio web del administrador de la demanda colectiva y registra tu correo para recibir alertas cuando el formulario esté disponible.
- Cuando abra el proceso, completa el formulario en línea o envíalo por correo junto a tus comprobantes.
- Si tu reclamación es aprobada, los pagos electrónicos o cheques se enviarán en orden de recepción hasta agotar el fondo.
Lecciones de ciberseguridad: cómo protegerte hoy
Aunque ningún sistema es 100 % infalible, estos pasos reducen drásticamente el riesgo:
- Activa la autenticación multifactor (MFA) en tu cuenta CRA y cualquier plataforma sensible.
- No reutilices contraseñas. Utiliza un gestor de claves para generar combinaciones únicas y robustas.
- Monitorea tu crédito con TransUnion o Equifax; cualquier consulta inesperada podría indicar fraude.
- Verifica depósitos y retiros en tu cuenta bancaria tras la temporada de impuestos.
- Actualiza tus datos de contacto en la CRA para recibir alertas inmediatas sobre cambios o solicitudes sospechosas.
El acuerdo de $8.7 M es un paso importante para resarcir a los afectados, pero también subraya la necesidad de mantener prácticas de ciberseguridad sólidas. Si crees estar involucrado, mantente atento a los plazos oficiales y, por cualquier duda, consulta a un asesor legal o a las asociaciones comunitarias hispanas en Toronto que están brindando asesoría gratuita sobre el caso.
