Hace dos semanas la Agencia Española de Protección de Datos (AEPD) multó a Air Europa con 600.000 euros por un ciberataque que sufrió en 2018 en el que le fue robada información personal y bancaria de sus clientes. Y aún le salió barato, pues en 2020 las autoridades británicas sancionaron por los mismos motivos a los Hoteles Marriot con 20,5 millones de euros y a British Airways con 22 millones de euros.
Los casos en los que una empresa puede ser sancionada por la Ley Orgánica de Protección de Datos (LOPD) tras sufrir un ciberataque no son habituales, pero se pueden dar. La AEPD explica a Xataka que del total de notificaciones que reciben por parte de las empresas acerca de ataques que han comprometido datos personales de cualquier tipo, sólo un 10% se investigan para iniciar un posible procedimiento sancionador, y el porcentaje de ellos que acaba en multa es aún menor.
Los supuestos en los que un ciberataque puede acabar en multa son sólo dos: que la empresa que lo ha sufrido no lo comunique en el plazo establecido por la norma, de 72 horas desde que se tuvo conocimiento de él como máximo, o que la compañía no haya tomado las medidas adecuadas, según el criterio de la agencia, para prevenir el robo de los datos personales alojados en sus servidores.
“La agencia pide que le digas qué ha pasado y cómo estás paralizando el ataque, y luego se hacen ampliaciones de esa información conforme se vayan teniendo más datos”, explica Johanna Álvarez, legal manager de la empresa de ciberseguridad Áudea.
La intención de las autoridades, por lo tanto, es tener conocimiento de los datos que han podido ser comprometidos, el alcance que puede tener el ciberataque para los afectados y asegurarse de que la organización ha hecho todo lo posible para evitar el robo o filtración de esa información personal. Pero si llega a la conclusión de que la empresa no ha hecho lo que debía de acuerdo con lo establecido en la norma, iniciará un proceso sancionador.
El caso de Air Europa
El caso de Air Europa es paradigmático porque incumplió los dos supuestos por los que podía ser sancionada: comunicó el ataque 41 días después de que se produjese, por lo que fue multada con 100.000 euros, y sus medidas de ciberseguridad no eran las adecuadas para defender sus servidores, por lo que, según el criterio de la AEPD, no hizo todo lo posible para proteger los datos personales de sus clientes, lo que le costó una sanción de 500.000 euros.
La dilación en la comunicación de un ciberataque es el motivo más común por el que la Agencia Española de Protección de Datos puede sancionar a una empresa, según los expertos consultados por Xataka. La falta de conocimiento acerca de cómo proceder en estos casos o la ausencia de un protocolo preestablecido para abordar esa situación crítica en el caso de que se produzca suelen estar detrás de esos retrasos.
“La empresa debe establecer quién y qué acciones se ejecutarán en el caso de que se produzca una brecha de seguridad. Cuando sucede, el responsable del tratamiento de los datos debe poner en marcha el plan de actuación, concretando las tareas que le permitan resolver la brecha y recopilar toda la información sobre ella”, explican desde la AEPD.
Para realizar esta comunicación, la agencia dispone de la herramienta Comunica-Brecha RGPD en su página web, a través de la que cualquier organización o responsable del tratamiento de datos personales puede comunicar una brecha de seguridad en sus sistemas que afecte a datos personales.
Para esta comunicación, el responsable de la empresa deberá recopilar información acerca de cómo se ha producido la brecha -pérdida o robo de un dispositivo, ataque de ransomware, pishing, etc.-, si su origen es interno o externo, si ha sido accidental o por un ataque intencionado, el volumen de los datos afectados, la categoría de estos -datos básicos como información de contacto o especiales como información relacionada con la salud-, la categoría de las personas afectadas -clientes, empleados, pacientes, estudiantes…- y la secuencia temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o se planea resolverla.
No obstante, no es obligatorio comunicar a la AEPD todas las brechas de seguridad, sólo aquellas que constituyan un riesgo para los derechos y libertades de las personas físicas por la filtración o robo de sus datos. El responsable que la empresa haya establecido para el tratamiento de datos de la organización será el que deba evaluar si debe o no informar a la agencia en estos casos.
Las medidas adecuadas
Por otra parte, si una organización ha recibido un ciberataque en el que han quedado comprometidos datos personales de cualquier tipo y la Agencia Española de Protección de Datos inicia una investigación, los responsables de la entidad deben poder demostrar que tomaron las medidas de prevención adecuadas para evitar la brecha.
“La agencia pide que se implanten medidas de seguridad preventivas, y que tengas una forma de acreditarlas con informes de auditorías periódicos, el cumplimiento de las medidas de seguridad, análisis de riesgos anuales, etc.”, explica Álvarez.
A estos documentos se pueden añadir otras evidencias que demuestren que el nivel de protección era el adecuado, como que la empresa nunca ha recibido un ataque de esa naturaleza, que ha sido un ataque puntual o que ha comprometido a muchas empresas del sector, lo que evidenciaría que se trata de algo para lo que nadie estaba preparado.
Otra forma de acreditar que la empresa ha tomado medidas preventivas es demostrar que ha dado formación gratuita en ciberseguridad y tratamiento de datos personales a sus empleados al menos una vez al año, lo que puede ayudar a evitar ataques de ciberdelincuentes en modalidades como el phishing.
Por último, la legal manager de Áudea destaca que también es relevante que los empleados sepan qué deben hacer en caso de ciberataque: “Es importante tener un procedimiento muy bien implantado en la empresa, que todo el mundo sepa qué pasos hay que dar si pasa algo de este tipo, porque el tiempo apremia”.
Mapfre no fue sancionada
Mapfre es uno de los ejemplos de que no todas las empresas que sufren e informan de un ciberataque son sancionadas. El pasado mes de agosto de 2020 la aseguradora fue atacada por ciberdelincuentes y los datos personales de sus clientes se pudieron ver comprometidos. Sin embargo, la compañía tenía medidas de prevención para minimizar el impacto de la brecha, lo que hizo que la AEPD archivase la investigación y no la sancionase.
“Como se detalla en la resolución del procedimiento, la empresa actuó acorde a sus protocolos y planes de continuidad de negocio establecidos de forma previa al ataque, motivo que le permitió reducir las consecuencias y evitar la propagación del malware, pudiendo finalmente identificarlo, aislarlo y eliminarlo. También comunicó el ciberataque al INCIBE (Instituto Nacional de Ciberseguridad) y al CCN – CERT (Centro Criptológico Nacional) y publicó información sobre él en su página web”, explica a Xataka Juan Carlos Fernández, abogado especializado en privacidad y nuevas tecnologías del despacho Tecnogados.
La citada resolución recoge que “la entidad investigada disponía de medidas de seguridad razonables en función de los posibles riesgos estimados”, que “el impacto ha sido casi nulo, pues los intentos de exfiltración fueron detectados y evitados, lo que unido a la rapidez para hacer público el ciberataque permitió la eficaz actuación de los clientes” y que “consta que disponía de las medidas técnicas y organizativas razonables para evitar este tipo de incidencia, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad de datos personales”.
Por todo lo citado con anterioridad, la AEPD resolvió que Mapfre había sido “diligente y proporcional con la normativa” en la protección de los datos personales que manejaba en sus sistemas.
Imagen 1 | Christiaan Colen
Ver todos los comentarios en https://www.xataka.com
VER 7 Comentarios