Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Cómo actuar ante un ciberataque?

Al hilo del artículo sobre delincuencia en Internet, que dejo enlazado aquí, he pensado en explicarles cómo actuar en caso de sufrir una brecha de seguridad, por ejemplo, por un ciberataque.

Empecemos por definir qué se entiende por brecha de seguridad. En el artículo 4.12 del Reglamento General de Protección de Datos encontramos la siguiente definición: «Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos». En otras palabras, es todo aquel incidente que genere efectos adversos y que ponga en riesgo la seguridad de los datos, redes y sistemas de información. Dicho esto, no todos los incidentes son necesariamente brechas de seguridad, y no todas las brechas exigen su notificación a la autoridad de control. 

La Agencia Española de Protección de Datos clasifica las brechas de seguridad en tres categorías:

  1. Brecha de confidencialidad: Tiene lugar cuando personas que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella, por ejemplo, casos de intrusión, envío erróneo de datos o pérdida de dispositivos. Puede mitigarse con cifrado o anonimización.
  2. Brecha de integridad: Cuando se altera la información original, pudiendo causar daños a los interesados, como modificaciones en datos sensibles. Se previene con controles como hashes y auditorías de accesos.
  3. Brecha de disponibilidad: Se produce cuando no es posible acceder a los datos originales, ya sea de forma temporal (recuperables tras un periodo) o permanente (irrecuperables). Por ejemplo: ataques de ransomware o fallos en el almacenamiento, que se mitigan con copias de seguridad y planes de recuperación.

Recomendaciones para evitar una brecha de seguridad

Aunque la seguridad absoluta no existe, es posible implementar medidas preventivas para minimizar riesgos y evitar una brecha de seguridad: 

  • Uso de contraseñas robustas.
  • Realización periódica de copias de seguridad seguras y probadas.
  • Mantenimiento de sistemas y software actualizados con parches de seguridad.
  • Establecimiento de políticas estrictas para servicios expuestos en Internet, como firewalls y VPN.
  • Cifrado de dispositivos portátiles y datos en tránsito.
  • Evitación de conexiones a redes Wi-Fi públicas o no seguras.
  • Limitación de descargas de aplicaciones a fuentes oficiales y verificadas.
  • Habilitación de acceso remoto y borrado de datos en caso de pérdida o robo.
  • Navegación exclusiva en sitios web seguros (HTTPS) y uso de herramientas antimalware.
  • Realización de auditorías de seguridad periódicas en dispositivos móviles y sistemas, incluyendo evaluaciones de riesgos y pruebas de penetración.

Detectada la brecha de seguridad, ¿cómo debemos actuar?

Lo primero es mantener la calma y actuar con serenidad. A continuación, se convocará al grupo de respuesta. En empresas de cierto tamaño, este grupo o comité suele estar integrado por el responsable del tratamiento (quien lo preside), el delegado de protección de datos, el responsable de seguridad de los sistemas de información, el responsable de infraestructuras, el responsable del departamento jurídico y los delegados de las sucursales, si hubiere. Su constitución se ajustará, en todo caso, al tipo y a las necesidades de la organización.  

El equipo deberá evaluar la peligrosidad de la brecha de seguridad teniendo en cuenta diversos factores:

  • La naturaleza, sensibilidad y categoría de los datos personales y personas afectadas, tomando en consideración como hecho relevante que el incidente afecte a datos de personas con características y/o necesidades especiales.
  • El volumen de datos y el número de afectados.
  • Si los datos estaban protegidos mediante algún sistema de seudonimización o no.
  • La facilidad para identificar a los afectados a partir de los datos comprometidos. 
  • La severidad de las consecuencias.
  • El impacto que la brecha de seguridad pueda tener en la organización, desde los puntos de vista de la protección de la información, la prestación de servicios, la conformidad legal y la imagen pública o reputacional.

Asimismo, iniciará una investigación sobre el incidente y sus causas, con el objetivo de:

  • Identificar la naturaleza del incidente (por ejemplo, malware, denegación de servicio, secuestro del sistema, robo de información, etc.)
  • Identificar qué sistemas, procesos y personas se han visto afectados.
  • Determinar el origen o fuente del vector de ataque (interno/externo, accidental/intencionado).
  • Evaluar el impacto potencial (interrupción de la actividad, daño reputacional, pérdidas, etc.)
  • Analizar las posibles responsabilidades legales derivadas del incidente.

Protocolo de respuesta a incidentes

Todas las organizaciones deben tener un protocolo o plan de respuesta a incidentes, que el grupo de respuesta se encargará de ejecutar.  

El protocolo se ajustará a la organización, y no al revés, es decir, se elaborará el protocolo atendiendo a las características de la organización. No tiene sentido aprobar un plan de imposible cumplimiento o inalcanzable para la organización. Tiene que ser realista y ejecutable. 

La Ley de Prevención de Riesgos Laborales establece la obligación de realizar simulacros para analizar las posibles situaciones de emergencia y adoptar las medidas necesarias en materia de primeros auxilios, lucha contra incendios y evacuación de los trabajadores. En materia de seguridad de la información deben, igualmente, realizarse simulacros para detectar las posibles debilidades y vulnerabilidades de la organización. Los hallazgos se incorporarán al protocolo, introduciendo las correcciones oportunas.

Recuperado el sistema, se establecerá un periodo de cuarenta para asegurar que la vuelta a la normalidad es segura. 

Notificación a la autoridad de control y afectados

Pongamos que el incidente se cataloga como brecha de seguridad y que entraña un alto riesgo para los derechos y libertades de los afectados. En tales casos, aparte de la notificación a la autoridad de control, se notificará a los afectados.

La AEPD ofrece herramientas de ayuda como «Comunica-Brecha», que dejo un enlace aquí, que nos permite valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad. Se trata de una herramienta sencilla y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la AEPD en ningún caso puede conocer la información que haya sido aportada.

La notificación a la AEPD la hará el responsable del tratamiento en el plazo máximo de 72 horas. Si no fuera posible realizarla en dicho plazo, se justificarán los motivos de la dilación. La notificación se hará de forma telemática a través de la sede electrónica que encontrarán haciendo clic aquí.

Si en la notificación inicial no se dispone de toda la información, puede proporcionarse de manera gradual en fases posteriores. La información debe ser completa y detallada, incluyendo naturaleza de la brecha, categorías y número aproximado de afectados, consecuencias, medidas adoptadas y contacto del DPD.

Si procede notificar el incidente a las personas afectadas, el lenguaje empleado en la comunicación será inteligible y deberá contener, como mínimo, la siguiente información:

  • Datos de contacto del responsable del tratamiento.
  • Datos de contacto del delegado de protección de datos, si lo hubiere.
  • Descripción del incidente, incluyendo fecha de ocurrencia y detección. 
  • Descripción de los datos afectados.
  • Posibles consecuencias de la brecha de la seguridad.
  • Resumen de las medidas adoptadas para controlar, corregir y mitigar los efectos.
  • Alcance del proceso de recuperación, si se puede determinar.

La notificación individual puede sustituirse por una comunicación pública (por ejemplo, en la web de la organización o medios de prensa) si el esfuerzo para contactar individualmente es desproporcionado, si no se disponen de datos de contacto o si se justifica para evitar interferir en investigaciones.

El incumplimiento del deber de comunicación a los afectados, cuando proceda, puede considerarse una infracción leve según el artículo 74 de la LOPDGDD. Si la AEPD requiere la notificación y el responsable no cumple, podría incurrir en una infracción grave (artículo 73), con sanciones que pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio anual (o más en casos graves, hasta 20 millones o 4 %).

Es crucial que el equipo de respuesta o, en su defecto, el responsable del tratamiento documente, correcta y pormenorizadamente, el incidente. Esta documentación debe integrarse en un registro de incidentes. Calibrar adecuadamente si procede la notificación evita riesgos innecesarios, como daños reputacionales o pérdidas de mercado, aunque la omisión injustificada puede derivar en sanciones.

Conclusión

El responsable del tratamiento no tiene por qué ser, necesariamente, el responsable del incidente, si actuó con diligencia en el tratamiento de la información y adoptó las medidas técnicas y organizativas necesarias para protegerla, pudiendo considerarse, en tales casos, un perjudicado más. La notificación del incidente a la AEPD, cuando proceda, y en plazo, evidencia esta diligencia, reduciendo el riesgo de sanciones.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es