Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Filtración de datos a través de la empresa externa que los gestiona

Fecha de publicación 30/12/2024
Filtración de datos a través de la empresa externa que los gestiona

¿Qué ha ocurrido?

Contactó a través del teléfono 017 de la Línea de Ayuda de Ciberseguridad, el director del equipo informático de una empresa con presencia nacional, debido a una filtración de datos que habían sufrido.

Nuestro usuario nos comentó que, a través del navegador TOR, había encontrado en un foro una persona asegurando tener la base de datos de su empresa

Posteriormente lo encontró y, además, pudo comprobar que se habían publicado varios registros de la base de datos de su empresa, por lo que, parecía que efectivamente disponía de la información.

La base de datos es gestionada por otra empresa externa, pero tras contactarla les afirmaron no haber tenido ninguna filtración o brecha de seguridad. 

Sin embargo, nuestro usuario desconfiaba de esta afirmación y nos comenta que pretende realizar un examen de pentesting y la correspondiente auditoría para comprobar que los datos no se habían filtrado de sus propios servidores. 

Una vez detectado el incidente, ya habían reportado la filtración a la Agencia Española de Protección de Datos, pero, se pusieron en contacto con nosotros para saber si, además, podrían interponer una denuncia por el robo y la amenaza de difusión de sus datos.

¿Qué pautas le hemos dado?

En primer lugar, le reforzamos el mensaje de que, como bien hicieron, este tipo de incidentes deben reportarse a la Agencia Española de Protección de Datos antes de que pasen 72 horas del mismo. Además, le ofrecimos las siguientes pautas de actuación:

  • Realizar un comunicado hacia sus clientes exponiéndoles lo sucedido y las medidas que deben tomar.
  • Realizar un análisis de los equipos con antivirus.
  • Cambiar las contraseñas de acceso a los servidores y las bases de datos, establecer una robustas y activar el doble factor de verificación si fuera posible.
  • Comprobar los administradores que tienen acceso a la base de datos.
  • Examinar los logs de acceso al servidor.
  • Monitorizar las cuentas de estos administradores.
  • Si no encontrasen indicios de un incidente en sus sistemas, volver a ponerse en contacto con la empresa que gestiona su base de datos para que tomen las medidas oportunas. 
  • Recopilar todas las pruebas posibles.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
  • Además, le facilitamos el catálogo de empresas de INCIBE por si necesitaran ayuda de alguna empresa externa.

Además, le explicamos que una filtración de datos o brecha de seguridad, puede acarrear consecuencias legales pues, aunque a priori pueda parecer que la responsabilidad es del proveedor que sufrió la filtración, la empresa responsable del tratamiento es quien debe asegurarse de que sus proveedores implementen medias de seguridad adecuadas conforme al RGPD.

  • En este sentido, sería responsabilidad de la empresa si se demuestra que no llevó a cabo un análisis adecuado de la capacidad del proveedor para manejar datos de manera segura. 
  • Y, por el contrario, respondería el proveedor si se demuestra que no actuó con diligencia o carecía de las medidas de seguridad requeridas, salvo que se pruebe que la brecha fue causada por factores ajenos a su control, como un evento de fuerza mayor o un ataque muy sofisticado.

Sin embargo, ello dependerá del análisis de las autoridades de protección de datos competentes y de las circunstancias específicas de cada caso.

Por último le recordamos que ante cualquier duda que le pueda surgir, puede volver a contactar con el servicio de Tu Ayuda en Ciberseguridad de INCIBE todos los días del año de 08:00 am a 23:00 pm.

Tu Ayuda en Ciberseguridad

Etiquetas