Blog

Ransomware, la principal amenaza para las empresas (I)

Hemos visto como en la actualidad muchas empresas han sido objeto de ciberataques a través de ransomware. El tamaño de la empresa es independiente para los ciberdelincuentes y cualquier entidad puede ser objetivo de un ataque informático.

¿Qué es un ransomware? Se trata de un tipo de malware que está en continua evolución y que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un tiempo determinado.

¿Cómo puede llegar a nuestra empresa?

Se puede propagar de distintas maneras;

  •  A través de campañas de Spam
  •  Por la existencia de vulnerabilidades o malas configuraciones de software
  •  Actualizaciones de software falsas
  •  Utilización de canales de descarga de software no confiables
  •  Instalación de herramientas de activación de programas no oficiales.

Lo que se pretende es que la víctima abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado.

Con este tipo de ataques, además de bloquear la información y exigir un rescate,  se amenaza con la fuga de información confidencial al ámbito público (internet), lo que ocasionaría sanciones a la empresa por incumplimiento del RGPD.

10 malentendidos relacionados con la anonimización

La AEPD ha publicado una miniguía ilustrando los 10 principales malentendidos relacionados con la anonimización. Los datos anónimos son aquellos datos que no hacen referencia a personas naturales identificadas o identificables. Hoy en día tienen un papel importante en el contexto de la investigación en áreas como la medicina, marketing, economía, y muchas otras.

1º La seudonimización es lo mismo que anonimización. No es así, los datos anónimos no pueden asociarse a un individuo en particular, mientras que en la seudonimización con una información adicional identificaríamos a la persona.

2º El cifrado es anonimización. No es una herramienta válida.

3º Los datos siempre pueden anonimizarse. No siempre es posible reducir el riesgo de reidentificación y que los datos sean válidos.

4º La anonimización es permanente. Existe un riesgo de que ciertos procesos se reviertan en el futuro.

5º Siempre se consigue reidentificación cero.

6º Es un concepto binario que no puede medirse.

7º Se puede automatizar totalmente.

8º Se inutilizan los datos.

9º Seguir procesos de anonimización de otros.

10º No existe riesgo ni interés en saber a quién se atribuyen esos datos.

Sancionada con 4.000€ una asesoría por comunicar datos de un cliente a otra asesoría sin su consentimiento

En la Resolución de la AEPD  https://www.aepd.es/es/documento/ps-00116-2021.pdf , se sanciona a una asesoría fiscal por no haber solicitado el consentimiento de la afectada.

La reclamante manifiesta en su escrito de reclamación que sus datos fueron comunicados por su asesoría fiscal a otra asesoría, de la cuál recibió una factura a su cargo por los servicios prestados. En ningún momento se pusieron en contacto con ella para solicitarle el consentimiento del tratamiento de sus datos.

La Subdirección General de Inspección de datos inició el proceso de investigación, solicitando información sobre las causas. No se obtiene ninguna contestación sobre las mismas, lo que supone un agravante a tener en cuenta en el momento de cuantificar la sanción, puesto que una de las obligaciones del responsable es colaborar con la autoridad de control cuando ésta se lo requiera.

Se ha vulnerado el art. 6 del RGPD que recoge los supuestos de licitud del tratamiento por parte de terceros. En este caso, la asesoría fiscal con la que tenía contratado sus servicios comunica los datos a un tercero sin su consentimiento, por lo que no está actuado diligentemente.

La cuantía finalmente reclamada ascendió a 4.000€, teniendo en cuenta el agravante de la nula cooperación con la AEPD con el fin de poner remedio a la infracción y mitigar sus efectos.

Principales funciones del Delegado de Protección datos

El Delegado de Protección de datos, dentro de una empresa, tiene que ser designado atendiendo sus cualidades profesionales, en particular tal y como nos dice el RGPD, ha de tener conocimientos especializados del Derecho y práctica en la materia de protección de datos para poder desempeñar con éxito las funciones que tiene encomendadas.

¿Cuáles son sus principales funciones?

  • Informar y asesorar al responsable o encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones contenidas en el RGPD y en nuestra LOPDPGDD
  • Supervisar el cumplimiento de la normativa de protección de datos en las actividades realizadas por la empresa.
  • Supervisar las políticas de protección de datos, incluyendo la asignación de responsabilidades, la concienciación y formación del personal en protección de datos.
  • Verificar las auditorías correspondientes.
  • Ofrecer asesoramiento en la evaluación de impacto y su verificación.
  • Cooperar y actuar como punto de contacto con la autoridad de control.

La AEPD publica una guía sobre protección de datos y relaciones laborales

((Madrid, 18 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

Fraude al Departamento de Recursos Humanos

Todas las empresas con independencia de su tamaño pueden tener el riesgo de ser víctimas de un ciberataque.

En este caso, vamos a analizar el supuesto de fraude al departamento de RRHH. Es importante conocer cómo operan los ciberdelincuentes para poder prevenir este tipo de ataques, y en su caso, cuando” ya sea tarde” actuar con la mayor diligencia posible.

Las técnicas utilizadas son similares al fraude del CEO, aunque en esta ocasión la identidad suplantada no es la del CEO, sino la de un empleado de la empresa.

En la comunicación, el ciberdelincuente se hace pasar por un empleado de la empresa y le pide al departamento de RRHH que le ingrese la nómina en un nuevo número de cuenta. Para ello se ha tenido que realizar un estudio previo de la empresa víctima, identificando al personal de la empresa y sus cuentas de correo electrónico.

¿Qué podemos hacer para identificar el ataque y prevenirlo? En este caso, cuando la solicitud que recibe el departamento de RRHH esté relacionada con el cambio del número de cuenta bancaria de un empleado, se debe verificar esta solicitud mediante otro medio de comunicación, por ejemplo, a través de una llamada telefónica o presencialmente.

Cuando se sufre de este tipo de ataques se debe denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado y contactar con el banco lo antes posible.

Informe de la AEPD sobre el Derecho al Olvido en buscadores de Internet

La AEPD en el apartado de la web “informes y resoluciones” ha publicado recientemente un informe, en el que da respuesta a la consulta planteada sobre la utilización de un dato personal diferente al nombre para ejercer el derecho al olvido en los buscadores de Internet.

Para dar contestación a esta consulta, la AEPD aporta en su informe una interpretación conjunta de la normativa que regula el derecho al olvido, tanto el RGPD como la LOPDPGD, las Directrices dictadas por el CEPD, y la jurisprudencia del Tribunal Supremo y de Justicia emitida en estos casos.

Las conclusiones a la que llega la AEPD es que, por regla general, el Derecho al Olvido frente a buscadores abarcaría únicamente la búsqueda realizada a partir del nombre entendiendo este término como nombre y apellidos y con carácter excepcional se podrían admitir otros términos distintos al nombre, siempre y cuando éstos produzcan los mismos efectos de identificación y singularización de la persona que ejerce el derecho al olvido en los buscadores de Internet. Es decir, que ese dato, permita identificar inequívocamente a una persona frente a la generalidad.

La AEPD en su informe recoge resoluciones favorables al derecho al olvido a partir de una información distinta al nombre y apellidos. Es el caso, por ejemplo, de búsquedas realizadas a partir del diminutivo del nombre compuesto del afectado.

Sancionada una asesoría por la ausencia de medidas de seguridad técnicas y organizativas adecuadas

En la Resolución de la AEPD  https://www.aepd.es/es/documento/ps-00483-2020.pdf, se sanciona a una asesoría por no haber implementado las medidas de seguridad adecuadas, para evitar incumplir el deber de confidencialidad.

La reclamante notifica a la AEPD, que la asesoría le remitió un correo electrónico con un documento que recoge los datos personales de otro cliente. Se le solicita al reclamado que en el plazo de un mes enviara a la AEPD la siguiente información:

  • Copia de las comunicaciones de la decisión adoptada y acreditación de que ha recibido la comunicación.
  • Informe sobre las causas que han motivado la incidencia.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

No se recibió ninguna alegación, por lo que se acuerda iniciar el procedimiento sancionador a la asesoría por incumplir los siguientes artículos del RGPD:

  1. Art.5.1.f RGPD: el acceso a los datos de un tercero por inefectividad de las medidas de seguridad. Supone una falta de confidencialidad. Sanción 2.000 euros.
  2. Art. 32.1RGPD: el reclamante no aplica diligentemente medidas de seguridad técnicas ni organizativas que garanticen una confidencialidad de los datos. Sanción 1.000 euros.

La figura del Delegado de Protección de Datos

En estos tiempos en los que la utilización masiva de datos, y en especial, los datos personales, han cobrado un valor importante, se hace cada vez más necesario que las empresas y entidades tengan entre sus asesores a un Delegado de Protección de Datos.

Esta figura, conocida también como DPD/DPO, en algunos casos, será designada obligatoriamente tanto por el responsable como encargado de tratamiento. ¿Cuáles son estos supuestos?

  •  Las autoridades y organismos públicos.
  • Empresas que tratan datos personales con fines de observación sistemática y habitual a gran escala.
  • Empresas que tratan datos de categorías especiales y datos relativos a condenas e infracciones penales a gran escala.

Además, nuestra Ley Orgánica en su art. 34 LOPDPGDD recoge una lista de sujetos obligados. Estos serían algunos de ellos: (ver lista completa en el artículo)

  • Responsables de ficheros de blanqueo de capitales.
  • Los centros docentes, Universidades públicas y privadas.
  • Comercializadoras de servicios de energía.

Gestión de una fuga de información (II)

Ante el supuesto de que se produzca una fuga de información en la empresa, la gestión de la misma ha de seguir un plan de acción para evitar los efectos negativos del incidente.

Los puntos definidos a continuación, se adaptarán al escenario específico dependiendo de la gravedad del incidente y del contexto.

1ª Fase Inicial: El momento posterior a la detección del incidente es clave para reducir el impacto. Se debe informar internamente de la situación a todo el personal y dar a conocer el protocolo de actuación.

2ª Fase de lanzamiento: El gabinete de crisis, o en su caso, personal propio o externo, inicia el protocolo interno de gestión del incidente realizando acciones coordinadas.

3ª Fase de auditoría: Realización de una auditoría interna y externa para determinar el alcance de la publicación de la información extraída entre otros.

4ª Fase de evaluación: Actuar con agilidad y establecer una planificación detallada de las principales tareas para cortar la filtración y evitar nuevas fugas de información.

5ª Fase de mitigación: Aplicar todas las tareas del plan e informar a las autoridades competentes y principales afectados.

6ª Fase de seguimiento: Valorar y auditar los resultados del plan de acción.