¿Qué es una brecha de seguridad? Las brechas de seguridad son un incidente que permite el acceso no autorizado de terceros a  información de carácter personal. Estas brechas se producen normalmente cuando un intruso logra saltar las medidas de seguridad que protegen dichos datos o por un sistema de seguridad obsoleto o mal uso de la información.

Cabe recalcar que una brecha de seguridad no es lo mismo que una filtración de datos. Una brecha de seguridad consiste en una intrusión a los datos, mientras que una filtración de datos consiste en la sustracción de los datos con fines maliciosos, en general por un ciberdelincuente.

Los datos son uno de los grandes activos de la actualidad. De hecho, las grandes compañías de hoy en día como Google, Meta, Oracle, etc. viven a costa del flujo y tratamiento de datos de los usuarios. Es por ello, que la información confidencial de una empresa o persona puede llegar a tener un valor inmenso para terceros que filtran estos datos en la Dark web.

Una brecha de seguridad puede venir dada por un mal manejo de documentos físicos o bien en el caso de datos en formato digital por malware, ciberataques o negligencia de la propia empresa.

Casos conocidos más de brechas de seguridad

1. Facebook: Debido a fallos internos de su software, se filtraron los datos personales de 29 millones de usuarios en 2018. La brecha de seguridad fue especialmente bochornosa, porque entre las cuentas vulneradas figuraba la del propio CEO de la empresa, Mark Zuckerberg, quién tuvo que responder ante tribunales.
2. Marriot Hotels: En 2018 la cadena hotelera sufrió una brecha de datos y de seguridad que afectaba a los registros de hasta 500 millones de clientes. Lo curioso es que el sistema de reservas fue hackeado 2 años antes de que se descubriera la brecha.
3. eBay: En 2014 sufrieron un ataque en el que miles de contraseñas de usuarios de la plataforma fueron vulneradas. Afortunadamente eBay actuó a tiempo y no se filtraron números de tarjetas de crédito ni las cuentas de los usuarios de PayPal.

¿Qué puede causar una brecha de seguridad?

Desde negligencia en los trabajadores hasta ciberataques, son muchos los factores que pueden ser la causa de una brecha de seguridad. Dentro de los motivos más comunes se puede encontrar los siguientes:

• Contraseñas débiles: Proteger documentos con información sensible con contraseñas fácilmente detectables es un grave error. Un ejemplo reciente de esto se refleja en la cadena hotelera Intercontinental Hotels and resorts la cuál fue hackeada para acceder a la base de datos y reservas a través de su contraseña “Qwerty1234”.
• Ataques con Malware: Muchas veces se recibe correos electrónicos de phishing, que pueden emplearse para penetrar en sistemas. Basta con que un empleado haga clic en un enlace de un mensaje de phishing para que el software malicioso empiece a propagarse por la red, pudiendo acceder a información sensible.

• Descargas a través de sitios web maliciosos: Muchas veces se utilizan virus o malware instalado a través de un sitio web fraudulento o infectado.

• Correos electrónicos a usuarios erróneos: El equivocarse de destinatario en un correo electrónico que contenga información sensible es considerado una brecha de seguridad. 

¿Cómo actuar?

Según la Agencia Española de protección de datos (AEPD):

ANTES: el responsable de tratamiento debe estar preparado para esta posibilidad, debe establecer quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.

SI SUCEDE: el responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.

Además, cuando se sufre una brecha de seguridad se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.

• Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido: se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, un ransomware ha cifrado un dispositivo, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc.
• Origen de la brecha, si ha sido interna o externa y su intencionalidad.
• Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como puedan ser datos de salud.
• Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
• Categorías de afectados: clientes, empleados, estudiantes, abonados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
• Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.

El RGPD impone a los responsables del tratamiento la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas, por lo que resulta fundamental obtener un correcto asesoramiento en materia de protección de datos personales.

Bibliografía

Kaspersky. (s.f.). Kaspersky. From ¿Qué es una brecha de seguridad?: https://www.kaspersky.es/resource-center/threats/what-is-a-security-breach

Agencia Española de Protección de Datos. (2019, septiembre 18). AEPD. From Brechas de seguridad de datos personales: qué son y cómo actuar: https://www.aepd.es/es/prensa-y-comunicacion/blog/brechas-de-seguridad-de-datos-personales-que-son-y-como-actuar