Infraccións de ciberseguridade: que facer se se filtran os meus datos persoais

Cada certo tempo espertámonos coa noticia de que, despois dun ciberataque, se filtraron os datos persoais de miles ou incluso millóns de persoas. A última, a semana pasada, cando se coñeceron os filtros de datos de máis dun millón de clientes dunha compañía telefónica. Os ciberdelincuentes poden extorsionar diñeiro á vítima a cambio de recuperar os seus datos; ou poden vender a información a un terceiro, que a usa para lanzar ataques de enxeñaría social, por exemplo, facéndose pasar por un banco. Que podemos facer se os nosos datos están expostos deste xeito? Hai ferramentas para protexernos e denuncialo?

"O primeiro é saber o alcance da fuga", explica. Francisco Pérez Bes, socio de dereito dixital en Grupo Ecix e ex-secretario xeral do Instituto Nacional de Ciberseguridade (INCIBE). Porque non é o mesmo "que se perda o seu nome de usuario que o seu número de tarxeta de crédito ou contrasinal de correo electrónico".

Susana González, Xerente de Tecnoloxía, Innovación e Ciberseguridade en Escolla Legal, explica que “a gran dificultade reside en coñecer o verdadeiro impacto da fuga. O lóxico é que a empresa realice unha comunicación da violación da seguridade á Axencia Española de Protección de Datos (AEPD) cando, ao determinar o alcance, sabe que houbo unha filtración de datos persoais. Non obstante, moitas veces require unha investigación do publicado no Web profunda iso require máis tempo das 72 horas dispoñibles para informar do incidente ”. Ademais, dependendo de certos parámetros (tipoloxía dos datos filtrados ou número de afectados, entre outros) a empresa tamén ten a obriga de comunicar este incidente aos propietarios dos datos, o que implica ter que estender a comunicación á Axencia de conformidade co impacto real estase a gravar.

Unha vez que se saiba que tipo de información se filtrou, podemos tomar as primeiras medidas reactivas para evitar que se utilice no noso prexuízo (cambiar o contrasinal ou informar á nosa entidade financeira por se hai movementos sospeitosos).

En canto ás posibles reclamacións, González ve un escenario complicado para o usuario. A normativa prevé o dereito a reclamar unha indemnización por danos e prexuízos cando se vulneraron os dereitos de protección de datos. No caso dunha infracción de seguridade que afecte os datos persoais, cumpriranse os requisitos establecidos polo Guía AEPD comunicar o incidente aos interesados ​​e á empresa para que non o fagan; ou debe basearse no feito de que a empresa non dispón de medidas de seguridade técnicas e organizativas adecuadas para protexer os datos que procesa segundo o seu nivel de risco ou avaliación de impacto no tratamento de datos.

Pérez Bes diferenza dous escenarios: se a compañía é española, está suxeita a mecanismos nacionais de protección e, en principio, "poderiamos reclamar contra esta empresa por non ter sido dilixente na protección da nosa información", especialmente se é filtrada. información persoal ou úsase para causar calquera tipo de dano. Aínda que se trata de "procedementos lentos e complicados", o que dificulta que o consumidor poida querer denunciar. Se a filtración se produce nunha empresa estranxeira "estamos un pouco máis indefensos". E engade que "en Europa falan da posibilidade de presentar demandas colectivas contra empresas que sofren ciberataques" por non ter protexido axeitadamente os teus datos.

Dado que é practicamente imposible evitar totalmente o roubo e a fuga de datos, ambos expertos coinciden na importancia de tomar medidas preventivas para minimizar os danos. En primeiro lugar, como subliña Francisco Pérez Bes, debemos "ser conscientes do valor e a importancia dos datos", porque se se perden ou alguén accede a eles, "o impacto pode ser grande". E tes que saber como funciona o ecosistema dixital, os riscos que existen e coñecer as canles que teñen os cidadáns para informarse ou informar. En canto a medidas específicas, cita o dobre factor de autenticación nas contas ou facer copias de seguridade do correo electrónico ou do móbil. Porque ao final, subliña, "trátase de protexer a información do mesmo xeito que estou protexendo outros activos físicos tanxibles".

Susana González lembra outros puntos sinxelos que ás veces esquecemos: dar a menor cantidade de datos posible ao menor número de empresas e aplicacións; elimine todo o que non empregamos (solicitando a eliminación dos nosos datos, porque non abonda con desinstalar a aplicación ou darse de baixa do boletín, por exemplo); e cambiar os contrasinais que veñen de forma predeterminada na rede Wi-Fi e no enrutador doméstico, especialmente se nos conectamos desde a casa á infraestrutura de rede da empresa, porque os ciberdelincuentes poden "rinchar" o tráfico da rede Wi-Fi e acceder á información da empresa a través de a nosa conexión VPN.

Ao final, como indica Pérez Bes, nesta área hai que poñer "un pouco de sentido común" e saber que na escena dixital na que operamos as posibilidades de fraude son diferentes e maiores. En teoría estamos ben protexidos. Na práctica non tanto. E é que "incluso cumprindo coas obrigacións nas que podenacae poden roubarnos datos ”, porque“ o 100% de seguridade non existe ”, recalca González.