En los últimos días están apareciendo noticias en los medios de comunicación relativas al hackeo de datos de carácter personal que ha cedido el titular a grandes compañías de servicios para la gestión de sus contratos o, incluso, a administraciones públicas. Los servidores donde se guarda la información del Banco de Santander, Telefónica, la Universidad Complutense de Madrid, la Dirección General de Tráfico o Iberdrola han sido atacadas y un número indeterminado de ciudadanos han visto cómo sus datos han caído en manos de terceros para fines criminales.
Obviamenrte, el destino último será la comercialización de estos ficheros en el deep web y, posteriormente, su utilización mediante diversas modalidades de petición de datos para “solucionar” problemas ficticios de sus titulares, cuya finalidad última es la estafa o el acceso a los datos de sus cuentas corrientes y otros mecanismos de pago.
De las informaciones que proporcionan los medios de comunicación se puede extraer dos consecuencias: los datos de naturaleza personal han sido captados en el hackeo. Esto incluye los datos personales, correo electrónico y número de móvil. Los datos económicos, esto es las formas de pago de los recibos no han sido captados; dado que las medidas de seguridad implantadas por las empresas cesionarias de los datos por los titulares de los contratos tenían una protección suplementaria.
Pese a que pueda parecer que la situación es menos nociva, la realidad es la contraria. Con la captación de los datos se tiene acceso a la posibilidad de numerosas estafas de pequeña cuantía a dichas personas, que no captan la realidad de la comunicación. Es especialmente grave en el caso de la DGT, ya que pueden generar apariencias de multas que comunican por vía telefónica o de los proveedores de servicios que se pueden ver en operaciones de cambio de compañía que no resultaban deseadas. El riesgo, además, se socializa con lo que los damnificados reales no son las compañías sino los usuarios de los servicios.
En esta tesitura, la duda que se debe plantear es la relativa a la protección de los usuarios. Aquí hay dos elementos básicos:
A) En primer lugar, la Delegación de Protección de Datos y todo el aparato organizativo que tengan las empresas y entidades públicas para este ámbito. Su papel en la articulación de reglas generales de protección, de verificación de sistemas y aprobación de planes de protección de estos datos es lo que les obliga para que constituya en este momento su actividad central. Si el riesgo se ha materializado para determinar que se debería haber hecho; y si no se ha materializado para adoptar medidas preventivas. Una tarea en la que el CISO(Chief Information Security Officer) tiene que trabajar en función de las instrucciones que provengan del DPD.
Sería el momento en que han de garantizar dos aspectos: en primer lugar, que las comunicaciones a los posibles afectados se están produciendo. Pero, más allá de todo ello, y con independencia de que las empresas y organismos públicos hayan sido afectados, habrían de poner en práctica planes de prevención y de verificación de que el sistema de seguridad está protegido frente a estas amenazas. De hecho, debería haber una instrucción de los DPD exigiendo que los datos personales, no económicos, incrementen su seguridad en la medida en que constituyen el objeto central de estas modalidades de ataques.
Y, en la misma línea, los titulares de contratos en las entidades atacadas, deberían haber recibido una comunicación (tal como imponer la legislación) sobre lo ocurrido y sobre el impacto que ha tenido en los datos personales de cada uno. Y el cumplimiento de esto entra también en las competencias de las Delegaciones de Protección de Datos.
B) En segundo lugar, la Agencia Española de Protección de Datos, que debería cambiar su papel reactivo por uno proactivo, realizando auditorías de cumplimiento de unos estándares de seguridad adecuados y elaborando unas guías que recojan las medidas de seguridad adecuadas. Y, sobre todo, vigilando el cumplimento de dichas medidas. Su aparato sancionador es tremendamente importante y podría proporciona un margen de seguridad mayor del que en este momento existe. De hecho, el artículo 54 de la Ley Orgánica de Protección de Datos recoge como competencia de la Presidencia de la Agencia “la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad”.
Pero, especialmente, hay que recordar que el artículo 57 del RGPD obliga a estos organismos promuevan la “sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento” (artículo 57.1 b) y “promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento” (artículo 57.1 d). A día de hoy, no aparece ningún contenido en la web de la agencia sobre estos ataques masivos.
Pero, en fin, esta nueva modalidad de hackeas masivos de datos nos ha de plantear si las medidas de seguridad que se están imponiendo son las adecuadas. Porque, más allá de la bondad o no de los segundos factores de autenticación que, cual vio crucis padecemos todos aquellos que accedemos a servicios de esta naturaleza; la realidad muestra que los ataques concentrados a los servidores que guardan nuestra información es mucho más productivo para los delincuentes. Y, por ello, los servidores debieran tener unas medidas de seguridad reforzadas. Ni que decir tiene que el origen de estos servidores también acaba constituyendo un factor diferencia.
En todo caso, solo se puede terminar con un recordatorio a reforzar las medidas de seguridad en nuestros dispositivos. A partir de este punto, entrar en una determinación de responsabilidades es demasiado complejo con carácter general. Pero, obviamente, ante una eventual estafa habría que examinar cuál debería haber sido un uso diligente de los datos por parte de cada uno de los actores.
