Inicio / Protege tu empresa / Blog / Caso Ashley Madison y las medidas de seguridad que deben tomar las empresas

Caso Ashley Madison y las medidas de seguridad que deben tomar las empresas

Publicado el 26/08/2015, por Juan D. Peláez (INCIBE)
Caso Ashley Madison y las medidas de seguridad que deben tomar las empresas

Ashley Madison es uno de los portales más populares orientados a buscar pareja por internet. En particular, este portal está especialmente orientado a la búsqueda de relaciones extramatrimoniales. El hackeo de sus bases de datos ha dejado expuestos datos e información personal y financiera de 39 millones de usuarios. Se estima que cerca de 2 millones podrían ser usuarios Españoles.

La supuesta razón que ha llevado a un grupo de hackers, «conocidos como Impact Team», a realizar este ataque y publicar su contenido, es que para borrar un perfil en el portal de citas había que pagar 19 dólares, al menos para que el borrado fuera completo. Los atacantes reclamaron que esta opción fuera gratuita y, a pesar de que los responsables de Ashley Madison cumplieron con esta condición, los datos de los usuarios registrados se han hecho públicos de igual manera.

Normativa de protección de datos

Las empresas que manejan datos de carácter personal, ofreciendo servicios a usuarios de distintos países, tienen que cumplir las normas específicas de cada país.

En España, la Ley Orgánica de Protección de Datos de carácter personal (LOPD), regula el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

Los datos personales manejados se clasifican en base a su nivel de sensibilidad (niveles bajo, medio y alto), siendo los requisitos legales y de medidas de seguridad informáticas más estrictos para los datos de nivel alto.

En particular, los ficheros con datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual son considerados como de nivel alto. Portales como, Ashley Madison, que manejan información relativa a la orientación sexual de sus usuarios, deben cumplir las máximas medidas de seguridad. Así como permitir a sus usuarios acceder, modificar o eliminar sus datos de manera sencilla y gratuita.

¿Qué medidas de seguridad deben tener los portales con datos confidenciales?

Algunas medidas de seguridad que deben de cumplir estos portales, con datos de nivel alto, son:

  • El acceso al portal web debe disponer de un sistema de identificación y autenticación robusto, que establezca cambio de contraseñas al menos una vez al año, cifrado de las mismas, así como establecimiento de limitación de acceso reiterados no autorizados.
  • Las comunicaciones a través de internet deben utilizar algoritmos de cifrado robustos, para garantizar la confidencialidad de la información.

En la sección «Protege tu Empresa», del portal de INCIBE, se ofrecen recomendaciones generales que deben de seguir las empresas para proteger su web.

¿Cómo se garantiza que un portal está cumpliendo con las medidas de seguridad?

Para garantizar que se están cumpliendo las medidas de seguridad, la LOPD establece la realización de auditorías internas o externas de seguridad cada dos años, o cuando se realicen modificaciones en los portales, que puedan afectar a las medidas de seguridad establecidas. La auditoría deberá de realizar una revisión exhaustiva de las medidas de seguridad para verificar su correcto funcionamiento y eficacia.

A la vista de hechos como el del Caso Ashley Madison, se constata, la importancia de cumplir con la normativa de cada país, no solo por el daño moral y económico que se puede causar a los usuarios, sino también por las posibles sanciones, que puedan ocasionar que estos datos puedan ser públicos. Países como Canadá ya están preparando demandas colectivas por el caso Ashley Madison de más de 500 millones de euros.

Si tienes una página web con datos de carácter personal, no te confíes y cuida mucho la seguridad de tus sistemas.