Cuando sufrir un hackeo sale doblemente caro: en qué casos un ciberataque puede acabar en una multa de la Agencia de Protección de Datos

Pablo Rodríguez

Hace dos semanas la Agencia Española de Protección de Datos (AEPD)multó a Air Europa con 600.000 eurospor un ciberataque que sufrió en 2018en el que le fue robada información personal y bancaria de sus clientes. Y aún le salió barato, pues en 2020 las autoridades británicas sancionaron por los mismos motivos a los Hoteles Marriot con 20,5 millones de euros y a British Airways con 22 millones de euros.

Los casos en los que una empresa puede ser sancionada por la Ley Orgánica de Protección de Datos (LOPD) tras sufrir un ciberataque no son habituales, pero se pueden dar. La AEPD explica a Xataka que del total de notificaciones que reciben por parte de las empresas acerca de ataques que han comprometido datos personales de cualquier tipo,sólo un 10% se investigan para iniciar un posible procedimiento sancionador, y el porcentaje de ellos que acaba en multa es aún menor.

Los supuestos en los que un ciberataque puede acabar en multa son sólo dos: que la empresa que lo ha sufrido no lo comunique en el plazo establecido por la norma, de 72 horas desde que se tuvo conocimiento de él como máximo, o que la compañía no haya tomado las medidas adecuadas, según el criterio de la agencia, para prevenir el robo de los datos personales alojados en sus servidores.

“La agencia pide que le digas qué ha pasado y cómo estás paralizando el ataque, y luego se hacen ampliaciones de esa información conforme se vayan teniendo más datos”, explica Johanna Álvarez, legal manager de la empresa de ciberseguridadÁudea.

La intención de las autoridades, por lo tanto, es tener conocimiento de los datos que han podido ser comprometidos, el alcance que puede tener el ciberataque para los afectados y asegurarse de que la organización ha hecho todo lo posible para evitar el robo o filtración de esa información personal.Pero si llega a la conclusión de que la empresa no ha hecho lo que debía de acuerdo con lo establecido en la norma, iniciará un proceso sancionador.

El caso de Air Europa

El caso de Air Europa es paradigmático porqueincumplió los dos supuestos por los que podía ser sancionada: comunicó el ataque 41 días después de que se produjese, por lo que fue multada con 100.000 euros, y sus medidas de ciberseguridad no eran las adecuadas para defender sus servidores, por lo que, según el criterio de la AEPD, no hizo todo lo posible para proteger los datos personales de sus clientes, lo que le costó una sanción de 500.000 euros.

La dilación en la comunicación de un ciberataquees el motivo más común por el que la Agencia Española de Protección de Datos puede sancionar a una empresa, según los expertos consultados por Xataka. La falta de conocimiento acerca de cómo proceder en estos casos o la ausencia de un protocolo preestablecido para abordar esa situación crítica en el caso de que se produzca suelen estar detrás de esos retrasos.

“La empresa debe establecer quién y qué acciones se ejecutarán en el caso de que se produzca una brecha de seguridad. Cuando sucede,el responsable del tratamiento de los datos debe poner en marcha el plan de actuación, concretando las tareas que le permitan resolver la brecha y recopilar toda la información sobre ella”, explican desde la AEPD.

Para realizar esta comunicación, la agencia dispone de la herramientaComunica-Brecha RGPDen su página web, a través de la que cualquier organización o responsable del tratamiento de datos personalespuede comunicar una brecha de seguridad en sus sistemas que afecte a datos personales.

Para esta comunicación, el responsable de la empresa deberárecopilar informaciónacerca de cómo se ha producido la brecha -pérdida o robo de un dispositivo, ataque de ransomware, pishing, etc.-, si su origen es interno o externo, si ha sido accidental o por un ataque intencionado, el volumen de los datos afectados, la categoría de estos -datos básicos como información de contacto o especiales como información relacionada con la salud-, la categoría de las personas afectadas -clientes, empleados, pacientes, estudiantes…- y la secuencia temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o se planea resolverla.

No obstante, no es obligatorio comunicar a la AEPD todas las brechas de seguridad,sólo aquellas que constituyan un riesgo para los derechos y libertades de las personas físicas por la filtración o robo de sus datos. El responsable que la empresa haya establecido para el tratamiento de datos de la organización será el que deba evaluar si debe o no informar a la agencia en estos casos.

Las medidas adecuadas

Por otra parte, si una organización ha recibido un ciberataque en el que han quedado comprometidos datos personales de cualquier tipo y la Agencia Española de Protección de Datos inicia una investigación, los responsables de la entidaddeben poder demostrar que tomaron las medidas de prevención adecuadaspara evitar la brecha.

“La agencia pide que se implanten medidas de seguridad preventivas, y que tengas una forma de acreditarlas coninformes de auditorías periódicos, el cumplimiento de las medidas de seguridad, análisis de riesgos anuales, etc.”, explica Álvarez.

A estos documentos se pueden añadir otras evidencias que demuestren que el nivel de protección era el adecuado, como que la empresa nunca ha recibido un ataque de esa naturaleza, que ha sido un ataque puntual o que ha comprometido a muchas empresas del sector, lo que evidenciaría que se trata de algo para lo que nadie estaba preparado.

Otra forma de acreditar que la empresa ha tomado medidas preventivas es demostrar que ha dadoformación gratuita en ciberseguridad y tratamiento de datos personales a sus empleados al menos una vez al año, lo que puede ayudar a evitar ataques de ciberdelincuentes en modalidades como elphishing.

Por último, la legal manager de Áudea destaca que tambiénes relevante que los empleados sepan qué deben hacer en caso de ciberataque: “Es importante tener un procedimiento muy bien implantado en la empresa, que todo el mundo sepa qué pasos hay que dar si pasa algo de este tipo, porque el tiempo apremia”.

Mapfre no fue sancionada

Mapfre es uno de los ejemplos de que no todas las empresas que sufren e informan de un ciberataque son sancionadas. El pasado mes de agosto de 2020 la aseguradora fue atacada por ciberdelincuentes y los datos personales de sus clientes se pudieron ver comprometidos. Sin embargo,la compañía tenía medidas de prevención para minimizar el impacto de la brecha, lo que hizo que la AEPD archivase la investigación y no la sancionase.

“Como se detalla en la resolución del procedimiento, la empresa actuó acorde a sus protocolos y planes de continuidad de negocio establecidos de forma previa al ataque, motivo que le permitió reducir las consecuencias y evitar la propagación del malware, pudiendo finalmente identificarlo, aislarlo y eliminarlo. También comunicó el ciberataque al INCIBE (Instituto Nacional de Ciberseguridad) y al CCN – CERT (Centro Criptológico Nacional) y publicó información sobre él en su página web”, explica a Xataka Juan Carlos Fernández, abogado especializado en privacidad y nuevas tecnologías del despachoTecnogados.

La citada resolución recoge que “la entidad investigada disponía de medidas de seguridad razonables en función de los posibles riesgos estimados”, que “el impacto ha sido casi nulo, pues los intentos de exfiltración fueron detectados y evitados, lo que unido a la rapidez para hacer público el ciberataque permitió la eficaz actuación de los clientes” y que “consta quedisponía de las medidas técnicas y organizativas razonables para evitar este tipo de incidencia, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad de datos personales”.

Por todo lo citado con anterioridad, la AEPD resolvió que Mapfre había sido“diligente y proporcional con la normativa”en la protección de los datos personales que manejaba en sus sistemas.

Imagen 1 |Christiaan Colen