Brechas de Seguridad

Ransomware, phishing, baiting, malware… Seguro que estos términos relacionados con los ciberataques te son familiares, ¿verdad? Con este tipo de ataques cibernéticos, el ciberdelincuente accede a millones de datos personales de los que dispone una organización o institución. Si esto sucede, podríamos decir que nos encontramos ante una brecha de seguridad. ¿Pero qué es exactamente una brecha de seguridad y cómo se produce en el ámbito de la seguridad de datos? 

En este artículo, te contaremos todo lo que debes saber sobre las brechas de seguridad, los principales tipos que existen o cómo gestionar una brecha de seguridad cuando ocurre, entre otros aspectos. Aunque los ciberataques no son el único método para ocasionar una brecha de seguridad, en la actualidad, es el más habitual.  

¿Nos acompañas a conocer todos los detalles sobre la importancia de las brechas de seguridad? ¡Vamos allá! 

¿Qué tipos de brechas de seguridad existen? 

Antes de nada, es importante establecer qué es una brecha de seguridad. Según la Agencia Española de Protección de Datos (AEPD), este término hace referencia a cualquier “incidente de seguridad que afecta a datos de carácter personal”. Así, añade que: “Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel”. 

En este sentido, la propia agencia asegura que, normalmente, las brechas de seguridad en datos personales suponen la destrucción, alteración o pérdida de datos personales, así como un acceso no autorizado a los mismos.  

Pero… ¿Qué tipos de brechas de seguridad existen? Normalmente, los tipos de brechas de seguridad se clasifican según el origen del ataque o de la intrusión.  

• MALWARE Y RANSOMWARE. El phishing a través de correos electrónicos trampa o los ataques de ransomware en los que el afectado debe pagar una cifra económica para mantener sus archivos son algunos ejemplos de ataques que ocasionan brechas de seguridad.  

• INGENIERÍA SOCIAL. Esta hace referencia al uso de técnicas de engaño para conseguir que las víctimas desvelen información personal. Esto puede darse por teléfono, por correo electrónico, a través de las redes sociales e, incluso, en persona.  

• BRECHAS FÍSICAS. Una brecha física es aquella que tiene lugar en un sitio físico. Por ejemplo, cuando una persona logra acceder a una sala con un archivo donde se almacenan datos confidenciales de personas. 

• DESACTUALIZACIONES. Si dispones de un sistema operativo obsoleto o que no posee las actualizaciones de seguridad necesarias, es probable que tus datos personales puedan estar en peligro.  

Otro ejemplo de tipo de brecha de seguridad muy habitual y que suele pasar desapercibido con las contraseñas débiles. No utilizar contraseñas 100% seguras para tus redes sociales y otros portales digitales con datos personales puede ocasionar brechas de seguridad que pongan en riesgo tu privacidad.  

Las brechas de seguridad también podrían clasificarse según el tratamiento posterior que se haga de los datos “robados”. Por ejemplo, un tipo de brecha de seguridad es aquella que ve alterados los datos personales, mientras que otro tipo es en el que se logra robar los datos personales de forma permanente.  

¿Cómo se produce una brecha de seguridad de datos? 

Conociendo los tipos de brechas de seguridad, es posible comprender cómo se produce una brecha de seguridad de datos. Y es que, dependiendo del origen del ataque que sufra una organización o una institución, la brecha de seguridad se desarrollará de un modo u otro. Por ello, la manera más habitual de producirse una brecha de seguridad de datos son los ataques cibernéticos, pero no la única.  

Otros ejemplos de brechas de seguridad encuentran su origen en errores humanos, cuando un trabajador/a de una empresa, por ejemplo, envía datos o información de carácter confidencial a un destinatario incorrecto –de forma intencionada o no-. 

El robo o pérdida de dispositivos electrónicos, como el móvil o el ordenador, también puede conllevar una brecha de seguridad en tus datos personales. ¡Y lo mismo ocurre con la pérdida o robo de carteras y monederos, donde solemos portar tarjetas de créditos, acreditaciones personales, documentación, etc.! 

Las brechas de seguridad en la normativa de protección de datos (RGPD, LOPDGDD y LGT) 

Las brechas de seguridad –como puedes esperar- están contempladas en el Reglamento general de protección de datos; en concreto, en los artículos 33 y 34, donde se asegura, entre otras cosas, que “en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella”. Esto será siempre así a no ser que se pueda demostrar que esta violación no suponga un riesgo para los derechos y libertades de los afectados.  

Lo mismo ocurre en la Ley Orgánica de Protección de datos y garantías de derechos digitales y en la Ley General de telecomunicaciones, donde se contempla qué se debe hacer ante un caso de brecha de seguridad.  

Todas ellas están de acuerdo en que, en el caso de la violación de la privacidad de los datos personales pueda suponer un problema para los afectados, deberá comunicarse a la autoridad competente. No informar de una brecha de seguridad en tu empresa puede entrañar problemas legales. 

¿Cuándo comunicar una brecha de seguridad? 

Una duda frecuente es la de cuándo comunicar una brecha de seguridad. Tal y como te hemos adelantado, eso siempre deberá darse cuando la violación de estos datos comprometa información personal y confidencial de personas físicas y jurídicas.  

El responsable de la protección de datos de la organización deberá analizar el riesgo de este ataque y, si es necesario, comunicarlo a la autoridad competente en un plazo máximo de 72 horas desde que se tenga constancia. Este trámite puede realizarse a través de la sede electrónica de la AEPD. También es recomendable que la empresa comunique directamente a los afectados (normalmente, clientes o empleados) lo sucedido para que se sientan más seguros y valorados.   

Sanciones por no notificar la violación de datos en tiempo y forma 

Las sanciones por la no notificación de la violación de datos en tiempo y forma pueden variar considerablemente de unos casos a otros. De hecho, en el propio RGPD no se contemplan cifras exactas de sanciones, sino que se ciñen a asegurar que se trata de procedimientos sancionables. Sin embargo, sí se señala que: “La notificación de brecha no implica la imposición de una sanción. Al contrario, una notificación, y en su caso comunicación, realizada en tiempo y forma, es una evidencia de la diligencia de la organización a la hora de ejecutar eficazmente la obligación de responsabilidad proactiva del RGPD”. 

Los únicos datos que se arrojan sobre sanciones exactas son: 

• Multas administrativas de hasta 10.000.000 euros o hasta el 2% del volumen de negocio total global anual del ejercicio financiero anterior. 

• Sanciones de hasta 20.000.000 euros o hasta el 4% del volumen de negocio total global anual del ejercicio financiero anterior. 

Algunos factores que pueden intervenir en la clasificación de una brecha de seguridad como leve o grave son: el número de afectados, el tipo de datos afectados, la confidencialidad de los datos, la seguridad anterior, etc.  

¿Cómo prevenir las brechas de seguridad? 

Prevenir las brechas de seguridad es una prioridad para las empresas e instituciones públicas del siglo XXI. Es primordial dedicar recursos económicos, humanos y tecnológicos a prevenir el acceso indebido a datos de carácter personal. Por ello, queremos explicarte cómo prevenir las brechas de seguridad, tanto a nivel personal como profesional. ¿Vamos? 

El antes de una brecha de seguridad es primordial para garantizar que suceda el menor número de veces posible. Para ello, es necesario, en primer lugar, ser conocedores/as de qué tipo de datos personales posee la empresa o institución, con qué medios se está tratando su seguridad y qué riesgos pueden ocasionar. Asimismo, el siguiente paso será establecer mecanismos de seguridad potentes, que supongan un problema si alguien quiere acceder a los datos. En el ámbito de los ciberataques, será primordial un cifrado de datos, antivirus y firewalls de calidad.  

Por otro lado, también es primordial concienciar a los empleados/as de la empresa o institución sobre la importancia de salvaguardar los datos personales. Informarles acerca de que puede suponer un delito y ofrecerles herramientas y prácticas de seguridad de datos puede ser fundamental.  

Por último, el uso de contraseñas seguridad, autenticación en dos pasos y actualizaciones periódicas de software supondrán un factor diferenciador entre una empresa que fomenta la protección de datos personales y otra que no lo hace.  

Y tú, ¿quieres mantener tus datos personales y/o los de tus clientes a salvo? 

¿Cómo gestionar una brecha de seguridad? Pasos que se deben seguir 

Gestionar correctamente una brecha de seguridad no solo te permitirá anticiparte a futuras brechas o recuperar todos tus datos robados, sino que también brindará a tu empresa un mayor prestigio y transmitirá confianza a tus clientes y potenciales clientes. Por ello, a continuación, te mostramos algunos pasos a seguir para gestionar una brecha de seguridad. ¡Vamos! 

1. Registro interno de la incidencia detectada. El primer paso es registrar internamente lo ocurrido. Para ello, el responsable de protección de datos de la organización deberá documentar qué ha ocurrido, cuándo, cómo y quiénes se han visto afectados. 
2. Valorar el alcance de la violación de datos. El responsable de la protección de datos deberá realizar una primera valoración sobre el alcance que puede tener el ataque a los datos. Qué datos han sido comprometidos, a quiénes afecta, etc. 
3. Notificación de la brecha de seguridad a la autoridad de control. Notificar a la autoridad de control es otro de los pasos prioritarios que ya te hemos explicado en el punto anterior. 
4. Notificación de la brecha de seguridad a las personas afectadas. Aunque no es obligatorio en todos los casos, sí es recomendable comunicar a las personas afectadas por la violación de datos personales. Aportarás mayor sensación de seguridad y confianza a tus clientes y usuarios.
5. Seguimiento y cierre. Uno de los pasos más importantes, además de realizar un seguimiento de esta incidencia, es prevenir brechas futuras. Para ello, se deberá estudiar en profundidad qué ha ocurrido e implementar medidas correctivas para un futuro. 

Ejemplos de brechas de seguridad recientes 

Las brechas de seguridad se dan a diario en empresas e instituciones de todo el mundo. Algunas presentan un alcance y una repercusión mayores, pero todas ellas son igual de importantes. A continuación, te mostramos dos ejemplos de brechas de seguridad recientes y muy sonadas.  

• En 2021, Facebook sufrió una filtración de datos en 2019, los cuales salieron a la luz en un foro de hackers aficionados dos años más tarde. Principalmente, eran números de teléfono, datos personales, ubicaciones y direcciones de correo electrónico de más de 533 millones de usuarios.  

• Otro ejemplo es el de Equifax, una empresa global de datos, analytics y tecnología, que fue atacada y perdió la información personal de más de 145 millones de ciudadanos de Estados Unidos. La mayoría de los datos trataban sobre números de la Seguridad Social y datos personales.  

Si te interesa este sector y estás pensando en formarte y especializarte para dedicarte a ello, esta es tu oportunidad. En INEAF, puedes conocer nuestro Curso en delegado de protección de datos. Data protection officer (DPO), con titulación universitaria + 8 créditos ECTS. ¡Es hora de conocerlo todo sobre las brechas de seguridad! Si quieres hacerlo desde casa, sin horarios y siendo dueño de tu ritmo de aprendizaje, INEAF te espera. ¿Hablamos?