Bretxes de ciberseguretat: què fer si es filtren les meves dades personals

Cada cert temps ens vam despertar amb la notícia que, després d'un ciberatac, s'han filtrat les dades personals de milers o fins i tot milions de persones. L'última, la setmana passada, quan es va conèixer la filtració de les dades de més d'un milió de clients d'una empresa de telefonia. Els ciberdelinqüents poden extorsionar la víctima perquè pagui a canvi de recuperar les seves dades; o poden vendre la informació a un tercer, que la utilitza per llançar atacs d'enginyeria social -per exemple, fent-se passar pel teu banc-. Què podem fer si les nostres dades es veuen exposats d'aquesta manera? Existeixen eines per protegir-nos i per denunciar-ho?

"El primer és saber l'abast de la filtració", explica Francisco Pérez Bes, Soci de Dret digital a Ecix Group i antic secretari general de l'Institut Nacional de Ciberseguretat (INCIBE). Perquè no és el mateix "que es perdi el teu nom d'usuari que el teu número de targeta de crèdit o la contrasenya de l'correu electrònic".

Susana González, Mànager de Tecnologia, Innovació i Ciberseguretat a Elece Legal, Explica que "la gran dificultat rau en conèixer el veritable impacte de la filtració. El més lògic és que l'empresa faci una comunicació de la bretxa de seguretat a l'Agència Espanyola de Protecció de Dades (AEPD) quan a l'determinar l'abast coneix que hi ha hagut fuga de dades personals. No obstant això, moltes vegades requereix una investigació del que ha pogut ser publicat a la Web profunda que requereix més temps de les 72 hores disponibles per a comunicar l'incident ". A més, en funció de determinats paràmetres (tipologia de les dades filtrades o nombre d'afectats, entre d'altres) l'empresa també té l'obligació de comunicar aquest incident als titulars de les dades, la qual cosa implica haver d'ampliar la comunicació a l'Agència d'acord es va tenint constància de l'impacte real.

Una vegada que es coneix quin tipus d'informació s'ha filtrat, podem prendre les primeres mesures reactives per evitar que sigui utilitzada en el nostre perjudici (canviar la contrasenya o informar a la nostra entitat financera per si hi ha moviments sospitosos).

Pel que fa a les possibles reclamacions, González veu un escenari complicat per a l'usuari. La normativa preveu el dret a reclamar indemnització per danys i perjudicis quan els drets de protecció de dades han estat vulnerats. En el cas d'una bretxa de seguretat que afecti dades personals, s'han de complir els requisits establerts per la guia de l'AEPD per comunicar l'incident als interessats i l'empresa no fer-ho; o s'ha de basar en que l'empresa no tingui les mesures de seguretat tècniques i organitzatives adequades per protegir les dades que tracta acord amb el seu nivell de risc o avaluació d'impacte en els tractaments de dades.

Pérez Bes diferència dos escenaris: si l'empresa és espanyola, està subjecta als mecanismes de protecció nacionals i, en principi, "podríem reclamar contra aquesta companyia per no haver estat diligents a l'hora de protegir la nostra informació", sobretot si es filtra informació personal confidencial o s'utilitza per fer algun tipus de dany. Tot i que es tracta de "procediments lents i complicats", el que dificulta que el consumidor vulgui denunciar. Si la filtració es produeix en una empresa estrangera "estem una mica més desemparats". I afegeix que "a Europa s'està parlant de la possibilitat de presentar demandes col·lectives contra companyies que pateixen ciberatacs" per no haver custodiat correctament les teves dades.

Atès que és pràcticament impossible evitar totalment el robatori i la filtració de dades, tots dos experts coincideixen en la importància de prendre mesures preventives per minimitzar els danys. En primer lloc, com subratlla Francisco Pérez Bes, hem de "ser conscients el valor i la importància que tenen les dades", perquè si es perd o algú accedeix a ells, "l'impacte pot ser gran". I cal saber com funciona l'ecosistema digital, els riscos que existeixen i conèixer els canals que té la ciutadania per informar-se o denunciar. Pel que fa a mesures concretes, cita el doble factor d'autenticació en els comptes o fer còpies còpia de seguretat de l'correu electrònic o de el mòbil. Perquè a la fi, subratlla, "es tracta de protegir la informació de la mateixa manera que estic protegint altres actius físics tangibles".

Susana González recorda altres punts senzills que de vegades oblidem: donar el mínim de dades possibles a el menor nombre d'empreses i aplicacions; esborrar tot allò que no utilitzem (sol·licitant la supressió de les nostres dades, perquè no n'hi ha prou amb desinstal·lar l'aplicació o donar-nos de baixa de la newsletter, per exemple); i canviar les contrasenyes que vénen per defecte a la xarxa wifi i router de casa, especialment si ens connectem des de casa a la infraestructura de xarxa de l'empresa, perquè els ciberdelinqüents poden "esnifar" el trànsit de la xarxa wifi i accedir a la informació de l'empresa a través de la nostra connexió VPN.

A la fin, com indica Pérez Bes, en aquest àmbit cal posar "una mica de sentit comú", i saber que a l'escenari digital en què ens movem les possibilitats de frau són diferents i grans. En la teoria estem ben protegits. A la pràctica no tant. I és que "tot i complir les obligacions ens poden atacari ens poden robar dades ", perquè" la seguretat 100% no existeix ", subratlla González.