Las filtraciones masivas de datos personales son, desafortunadamente, una realidad cada vez más común. Las empresas que sufren estos incidentes no solo se enfrentan a graves daños reputacionales y a pérdidas económicas, sino que también generan preocupación y desconfianza entre sus clientes, cuyos datos quedan enormemente comprometidos y pueden revenderse después en la deep web.
Por ello, es fundamental que las empresas implementen medidas de seguridad robustas, lo que incluye firewalls avanzados, sistemas de detección de intrusiones, cifrado de datos (tanto en tránsito como en reposo), autenticación con varios factores, gestión de accesos y segmentación de redes. Además, para identificar vulnerabilidades y puntos débiles en los sistemas, las auditorías deben ser muy frecuentes.
Empresas afectadas
Por ejemplo, hace menos de un año, el Banco Santander alertó de un “acceso no autorizado” a una base de datos de la entidad alojada en un proveedor que afectó a clientes de España, Chile y Uruguay, y a todos los empleados y algunos ex empleados del grupo. La lista de compañías que han sufrido incidencias similares incluye a El Corte Inglés, DKV, la DGT, Telefónica, Iberdrola o TicketMaster.
La última en aparecer en este oscuro inventario es Cecotec, que está bajo la lupa de la entidad de consumidores Facua. Ésta se ha dirigido a la Agencia Española de Protección de Datos (AEPD) para pedirle que investigue a Cecotec por la filtración masiva de datos personales de clientes que se encontraban registrados en su antigua plataforma de e-commerce.
Plataforma de e-commerce
Cecotec, que dice ser una entidad "comprometida con la protección de datos y la privacidad de nuestros clientes/as", ha reconocido a los mismos que el ciberataque tuvo lugar en abril de 2023, y ha admitido que se han visto comprometidos datos identificativos (nombres, apellidos y DNI) y de contacto (teléfonos y dirección postal) de algunos clientes que figuraban registrados en su antigua plataforma de e-commerce, que llevaba inactiva tres años.
Además, se ha comprometido a tratar de mitigar “el posible impacto del ataque”, si bien el daño ya está hecho: “Al haber obtenido los ciberdelincuentes información personal de la víctima, pueden enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa”, denuncia Facua.
Simulacros de phishing
Cecotec ha anunciado que también llevará a cabo "simulacros de pishing" para intentar controlar la hemorragia. Tal y como explica el Instituto Nacional de Ciberseguridad (Incibe), en caso de que la AEPD proceda a efectuar la sanción, los consumidores afectados estarán legitimados a reclamar mediante demandas por la vía civil la correspondiente indemnización por daños y perjuicios, siempre que se pruebe que el daño producido es consecuencia de una mala praxis por parte de la organización que custodiaba los datos.
Ademas, explica que las fugas de información pueden producirse de las siguientes formas:
- Desde dentro de forma accidental. Es decir, pueden producirse por descuido o desconocimiento de un empleado. Por ejemplo, que envíe un correo electrónico a la persona equivocada, que deje información sensible a la vista, que olvide un dispositivo en un lugar público, etc.
- Desde dentro de forma intencionada. En ocasiones, un empleado descontento puede hacer mucho daño a la organización y utilizar la información de la que dispone de forma malintencionada o divulgarla sin consentimiento.
- Por vulnerabilidades de seguridad. Las brechas de seguridad en los sistemas pueden implicar que, quien las descubra las aproveche para obtener su propio beneficio.
- Por ataques de ingeniería social. En este caso, pueden estar dirigidas a algunas empresas en concreto o ser campañas generales.