Tipos de fuga de información y los escenarios posibles (I)

Las fugas de información son uno de los incidentes de seguridad más comunes que suceden en las empresas. Estas se producen cuando se pierde la confidencialidad de la información de la empresa y esta es accesible a terceras personas no autorizadas.

Estas fugas de información pueden ser involuntarias y no intencionadas, cuando, por ejemplo, se envía un correo a múltiples destinatarios sin copia oculta, o bien se pierde un dispositivo móvil o USB con información confidencial sin cifrar. Las fugas se consideran deliberadas cuando es un ciberdelincuente el que consigue acceder a los sistemas de la empresa, o bien, el conocido como insider, cuando se trata de un exempleado que pretende generar una pérdida de reputación.

¿Cuáles son los escenarios principales donde se dan estas fugas? La información se puede extraer de las siguientes formas:

  • Dispositivos móviles y de almacenamiento externo.
  • Correo electrónico
  • Redes inalámbricas no confiables
  • Aplicaciones en la nube o herramientas colaborativas
  • Redes sociales
  • Malware; troyanos, spyware, keyloggers
  • Credenciales de acceso inseguras

Consejos básicos para realizar reuniones online con privacidad y seguridad

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías, así como otros artículos de interés editados por la AEPD en su página web.

En este caso, en la sección de innovación y tecnología, encontramos un documento de especial importancia para estos momentos, donde las  reuniones virtuales online se han convertido en  una constante habitual en las empresas. Estas pueden suponer un grave riesgo para la confidencialidad de los asistentes si no se tienen en cuenta precauciones básicas para su preparación. Estas reuniones pueden ser saboteadas, por antiguos compañeros de trabajo, o ciberdelincuentes.

En este documento se incluye una lista no exhaustiva para crear un espacio de trabajo eficaz y seguro.

  • Seguir las políticas establecidas por la empresa utilizando solamente el proveedor tecnológico aprobado.
  • Limitar la reutilización de los códigos/enlaces de acceso.
  • Utilizar una “sala de espera” para ir admitiendo a los participantes y habilitar una notificación para cuando se unan a la reunión.
  • Bloquear el acceso una vez que están todos los asistentes.
  • No grabar la reunión, en tal caso informar a los asistentes de la finalidad.

9.000 euros por publicar imágenes en una web sin el consentimiento de la afectada

En el procedimiento sancionador  https://www.aepd.es/es/documento/ps-00279-2020.pdf  se sanciona con una cuantiosa cantidad al  propietario de una URL por incumplir la normativa de protección de datos.

La reclamante solicitó al propietario de la web que suprimiera todos sus datos personales, lo que incluía también material fotográfico, puesto que, no contaba con su consentimiento. Una vez ejercido su derecho de supresión no obtuvo respuesta alguna, por lo que inicia la reclamación ante la AEPD. Además, en el escrito de su reclamación indica que la página web no cumplía con los requisitos de información que debe facilitar el responsable cuando recoge datos de carácter personal.

La AEPD notifica el acuerdo de inicio del procedimiento al reclamado, durante el plazo indicado no recibe ningún tipo de alegaciones por su parte, con lo cual, se convierte en propuesta de resolución.

La cantidad impuesta asciende a un total de 9.000 euros por infracción muy grave de los siguientes artículos del RGPD:

  •  5.000 euros por el incumplimiento del artículo 13 RGPD; el responsable de la página web no cumple con el deber de información en su política de privacidad.
  •  4.000 euros por el incumplimiento del artículo 6 RGPD; el responsable de la página web publica imágenes sin haber obtenido previamente el consentimiento del interesado.

Informar de las garantías en las transferencias internacionales

Uno de los principios fundamentales que el responsable de una empresa tiene que cumplir es la transparencia de la información en el tratamiento de los datos personales.

Este principio está relacionado con el derecho del interesado a obtener toda la información que sea relevante en relación con sus datos personales.

En los artículos 13 y 14 del RGPD se recogen todos los puntos que el responsable debe facilitar cuando trata datos personales. Además de indicar la identidad y datos de contacto del responsable, en su caso, del delegado de protección de datos, los fines del tratamiento y los destinatarios, el responsable está obligado también a informar de su intención de realizar transferencias internacionales de datos.

En el caso de que las transferencias estén basadas en garantías adecuadas, normas corporativas vinculantes o en los supuestos de las excepciones para situaciones específicas se tiene que dejar indicado lo siguiente:

  •  Copia de las garantías adecuadas
  •  Lugar en el que se hayan puesto a disposición, es decir, se ha de incluir en la información, una URL que permita al interesado acceder al documento que contiene dichas garantías.

Las fases principales de un ataque de ingeniería social

La mayoría de los ataques de ingeniería social que pude sufrir una empresa tiene la misma operativa. Conocer sus fases nos ayuda a prevenirlo puesto que lo vamos a poder identificar a tiempo para actuar con diligencia.

El ciclo de vida de este tipo de ataque consiste en tres fases:

1ª Fase de reconocimiento: Esta fase conocida también como footprinting consiste en recabar toda la información posible de las potenciales victimas del fraude, por ejemplo, números de teléfono, nombres de dominio, correo electrónico, etc…

2ª Fase de manipulación: La manipulación psicológica es clave en este tipo de fraudes. Así por ejemplo hacer creer que existe una determinada urgencia en una operación muy importante que ha costado mucho conseguir, actuar rápidamente para no perder un servicio. Lo que trata el ciberdelincuente es establecer una relación de confianza utilizando nombres de dominios falsos o suplantando la identidad de una persona u organización conocidas.

3ª Fase final del ata  que: Una vez obtenido el objetivo el ciberdelincuente tratará que el fraude no sea descubierto, puesto que así la extorsión puede continuar durante más tiempo y el impacto será mayor para la empresa.

¿Cuándo es posible la grabación de imágenes en el ámbito educativo?

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías sectoriales.https://www.tudecideseninternet.es/aepd/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf

En este caso, se trata de dar respuesta a la legitimación del tratamiento de la grabación de imágenes de alumnos/as y profesores/as en los centros educativos.

Habría que distinguir entre la toma de imágenes como parte de la función educativa, en estos casos, estaría legitimado en el cumplimiento de la normativa propia y no precisaría de consentimiento.

Así, por ejemplo, tal y como indica la guía, los profesores en el desarrollo de la programación y enseñanza de las áreas, materias y módulos, puede precisar la realización de ejercicios que impliquen la grabación de imágenes, las cuáles solamente han de estar disponibles para las partes interesadas, es decir, alumnos/as, padres o tutores y el personal docente correspondiente. En ningún caso, se podría difundir de forma de forma abierta en internet, sin el consentimiento de los interesados.

Por otro lado, también es posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar con la única finalidad de que los padres puedan acceder a ella. Este acceso debería llevarse a cabo en un entorno seguro, que exigiera la previa identificación y autenticación de los interesados involucrados.

Comunidad de propietarios sancionada por notificar deudas en el tablón de anuncios.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00143-2020.pdf  una comunidad de propietarios recibe una sanción de  apercibimiento por notificar indebidamente las deudas a un propietario.

El reclamante manifiesta que sus datos de carácter personal y económicos han sido expuesto ante terceros, puesto que la notificación se realizó en el tablón de anuncios.

Ante la AEPD llegan las alegaciones de la comunidad de propietarios, la cual manifiesta, qué además de la publicación en el tablón correspondiente se realizó mediante burofax no siendo recogido por el deudor.

La AEPD estima que la comunidad no actuó correctamente, por un motivo de falta de cumplimiento de plazos, ya que el cartel anunciando la convocatoria que contenían la deuda y los datos personales se hizo antes de que transcurriera el plazo para recoger la notificación.

La sanción que se le pide a la comunidad es de apercibimiento, lo que implica, que en el plazo de un mes tiene que acreditar ante la AEPD el cumplimiento de que procede con todas las medidas necesarias para que el reclamado actúe de conformidad con los principios del art.5.1. f del RGPD; principio de integridad y confidencialidad.

Este tipo de sanciones hacen ver de la necesidad que tiene los responsables de tener un protocolo adecuado en protección de datos.

La notificación y el registro de las brechas de seguridad

En el caso de que una empresa haya sufrido alguna de las diferentes tipologías de brechas de seguridad que indicábamos en el boletín pasado, tales como; brechas de confidencialidad, brechas de integridad y/o brechas de disponibilidad, ha de cumplir con las siguientes obligaciones recogidas en el RGPD. Es el responsable el que tiene que llevarlas a cabo, salvo que, en el contrato de acceso a datos se haya dispuesto que lo gestione el encargado de tratamiento.

1º Se notificará a la autoridad competente, en el plazo de 72 horas desde su conocimiento, siempre y cuando suponga un riesgo para los derechos y libertades de los afectados.

2º Si no se notifica en el plazo de 72 horas, habría que indicar los motivos de la dilación. En el caso de que no pueda facilitar la información simultáneamente, ésta se entregará de forma gradual sin dilación indebida.

3º La notificación ha de tener un contenido mínimo, tal y como indica el art. 33.3 del RGPD;

Además de todas esas acciones, el RGPD hace referencia a la obligación que tiene el responsable de documentar cualquier brecha ocurrida en su empresa aunque no sea preciso notificarla a la autoridad competente.

¿Cuáles son los principales amenazas en ciberseguridad a los que se enfrenta la empresa?

Durante este insólito 2020, los ataques más frecuentes han sido los siguientes:

1º Ransomware; A través del cual se pretende cifrar la información para pedir luego un rescate. El medio más frecuente ha sido el phishing, suplantando la identidad de diferentes instituciones como; OMS, Ministerio de trabajo, Servicio Público de Empleo(..)

La última versión es que primero exfiltran la información antes de cifrarla pidiendo un rescate a la empresa amenazando con publicarla sino lo realizan.

2º Robo de credenciales; El modo de proceder también ha sido el phishing, así obtienen las credenciales de los usuarios y acceden a sus cuentas bancarias y servicios en la nube. Por ejemplo, el robo de credenciales de Microsoft 365 les permite configurar palabras clave que se reenvían a una cuenta de correo con la finalidad de preparar un fraude al CEO.

3º Ataques a escritorios remotos; Debido a la situación actual de pandemia y la necesidad del teletrabajo, muchas empresas publicaron los escritorios remotos de los empleados en Internet, sin una seguridad adicional como puede ser una VPN.

4º Fraudes al CEO; la situación de teletrabajo ha hecho que exista un mayor aislamiento del personal, con lo cual han aumentado los casos de suplantación del Director General.

La videovigilancia en comunidades de propietarios regidas por la Ley de Propiedad Horizontal

La AEPD en su guía sectorial “Protección de datos y administración de fincas” recoge con carácter general conceptos y cuestiones básicas de la normativa de protección de datos. Por otro lado, contempla también tratamientos específicos que frecuentemente llevan a cabo las comunidades de propietarios.

Uno de estos supuestos específicos es el de la videovigilancia en la comunidades de propietarios. Cuando una comunidad pretenda llevar a cabo la instalación de videocámaras ha de tener en cuenta el siguiente requisito que se recoge en el art. 17.3 de la Ley de Propiedad Horizontal;

Se necesita un voto favorable de las tres quintas partes del total de propietarios que, a su vez, representen las tres quintas partes de las cuotas de participación.

Además, se recomienda que en el acuerdo alcanzado en la Junta se reflejen las características del sistema de videovigilancia, el número de cámaras y el espacio captado. En cuanto al espacio captado este no podrá captar imágenes de las zonas que no sean consideras comunes, ni imágenes de terrenos y viviendas colindantes.

El acceso a las imágenes solamente podrá realizarse por las personas que hayan sido designadas por la comunidad de propietarios y el sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. En ningún caso será accesible a los vecinos mediante canal de televisión comunitaria.