Ciberseguridad y protección de datos: Las empresas se exponen a multas millonarias
Tabla de contenidos
Ciberseguridad y protección de datos son dos cuestiones estratégicas fuertemente relacionadas, ya que un ciberataque puede provocar la vulneración de datos de clientes
A finales de septiembre de 2024, la autoridad irlandesa de protección de datos sancionó a Meta, una de las mayores tecnológicas del mundo, con una multa de 91 millones de euros. ¿Por qué? La compañía había almacenado en sus sistemas internos contraseñas de usuarios de redes sociales sin aplicarles una protección criptográfica o cifrarlas.
No estamos hablando de la primera sanción recibida por Meta. En 2023 ya se la había impuesto una multa de 1.200 millones de euros, la más elevada de la historia, y otra sanción de 390 millones por incumplir diversas disposiciones del Reglamento General de Protección de Datos.
1. Últimas sanciones relacionadas con ciberseguridad y protección de datos a los dos lados del Atlántico
La nueva sanción impuesta a Meta en septiembre de este año evidencia que ciberseguridad y protección de datos son un binomio crítico para el conjunto de las empresas en la era digital. Diariamente, en la Unión Europea, Reino Unido o Estados Unidos se detectan infracciones de la normativa de protección de datos ligadas a deficiencias en materia de ciberseguridad.
En algunas ocasiones, las carencias de las estructuras de ciberseguridad corporativas son explotadas por los delincuentes para provocar incidentes de seguridad que se saldan con la sustracción de datos personales de clientes, trabajadores y socios comerciales, además de información empresarial secreta y de gran valor.
Por ejemplo, hace unas semanas, se hizo público que la Federal Communications Commission (FCC) había impuesto una multa de 15,7 millones de dólares a T-Mobile, una de las grandes compañías de telecomunicaciones del mundo. La sanción tenía su origen en varios incidentes de seguridad que habían provocado la filtración de datos personales de millones de clientes, incluida información crítica como el número de la Seguridad Social o de su licencia de conducción.
Junto a la sanción, la FCC impuso a la compañía la necesidad de invertir otros 15,7 millones de dólares en optimizar su estructura de ciberseguridad para mejorar su ciberhigiene y fortalecer sus mecanismos de protección de datos.
A continuación, vamos a desgranar las claves de la relación entre ciberseguridad y protección de datos para ayudar a las empresas a evitar sanciones, daños reputacionales y pérdidas económicas.
2. Los datos son un objetivo prioritario de los ciberdelincuentes
Gran parte de los ciberataques que se lanzan contra empresas constantemente tienen como objetivo sustraer datos personales. Basta con echarle un ojo a las noticias para comprobar que esta clase de incidentes se produce de manera habitual.
Sin ir más lejos, hace unos días, Casio, una multinacional japonesa de productos tecnológicos como relojes o equipos de sonido, confirmó que un ataque de ransomware contra sus sistemas había provocado:
- Disrupciones en sus actividades.
- El robo de datos personales de trabajadores, socios comerciales, personas que se habían postulado a puestos de trabajo y clientes.
- El acceso a información crítica como contractos con socios, facturas, ventas, documentos legales, auditorías o información técnica.
Tan solo un año antes, Casio había sufrido la filtración de información de clientes de 150 países, después de que actores maliciosos accedieran a datos almacenados en un servidor de una aplicación web.
¿Por qué los ciberdelincuentes tienen los datos personales en su diana?
- Se pueden emplear para extorsionar a las empresas exigiendo el pago de un rescate a cambio de devolverlos o no hacerlos públicos.
- Sirven para lanzar futuros ataques contra las personas cuyos datos se han obtenido. De hecho, actualmente, estamos viviendo una oleada de fraudes digitales que tiene su origen en la sustracción de datos.
- Es posible comercializarlos fácilmente a través de la Dark Web para que los empleen otros actores maliciosos.
3. La información personal de índole económica es la joya de la corona
Los ciberataques que tienen como objetivo sustraer datos personales de clientes o trabajadores se dirigen contra empresas de todos los sectores. Sin embargo, hay un ámbito especialmente afectado por estas amenazas: el financiero. ¿Por qué?
Los ciberdelincuentes pueden emplear los datos personales obtenidos para atacar directamente a clientes de las entidades financieras y cometer lucrativos fraudes económicos.
Por ejemplo, la compañía VIVUS especializada en préstamos online, sufrió un incidente de seguridad en el que los atacantes lograron datos de sus clientes como DNI o medios de pago. Con esta información, suplantaron la identidad de clientes de VIVUS, accedieron a la plataforma de la compañía y solicitaron préstamos en su nombre que se concedieron de manera automática. Acto seguido, suplantaron a profesionales de la compañía y pidieron a los clientes estafados que devolvieran los préstamos a una cuenta bajo el control de los actores maliciosos.
La Agencia Española de Protección de Datos (AEPD) concluyó que VIVUS no había cumplido sus obligaciones en materia de ciberseguridad y protección de datos y le impuso dos multas por valor de 600.000 euros, que se redujeron a 360.000 euros al pagar de forma voluntaria.
Este incidente no se trata de un caso aislado, las entidades financieras han estado siempre a la vanguardia en la lucha contra los ciberataques. Y el marco normativo es más exigente para las compañías de este sector, como demuestra la implementación del reglamento DORA.
4. RGPD: Ciberseguridad y protección de datos en la UE
Precisamente, habida cuenta del panorama que venimos de describir, a nadie puede sorprenderle que en la última década se hayan aprobado diversas normas que buscan garantizar la protección de datos de la ciudadanía y las empresas.
Así, en 2016 vio la luz el Reglamento General de Protección de Datos (RGPD), una norma pionera a la hora de poner coto a la forma en que empresas e instituciones tratan, almacenan y usan los datos personales de los ciudadanos.
El RGPD nos permite observar la estrecha relación que existe entre ciberseguridad y protección de datos, ya que impone a las organizaciones cuatro grandes obligaciones en materia de ciberseguridad.
4.1. Garantizar la integridad y la confidencialidad
El tratamiento de datos debe garantizar la seguridad de la información (artículo 5.1.f.). Esto supone que las organizaciones deben contar con mecanismos técnicos y organizativos adecuados para salvaguardar la integridad y confidencialidad de los datos frente a:
- Tratamientos no autorizados o ilícitos.
- Pérdida, destrucción o alteración de la información.
4.2. Mantener un nivel de seguridad adecuado
Se debe garantizar un nivel de seguridad adecuado en función del riesgo (artículo 32.1.). Esto implica:
- Realizar el cifrado de los datos personales o anonimizarlos.
- Optimizar la resiliencia de los sistemas de tratamiento de datos.
- Tener la capacidad de restaurar el acceso a los datos personales en el menor tiempo posible en caso de que se produzca un incidente.
- Evaluar de manera continua que las medidas de ciberseguridad garantizan la protección de los datos.
Las evaluaciones del nivel de seguridad deben tener en cuenta los riesgos asociados a la destrucción de los datos, su alteración ilícita o el acceso no autorizado a ellos (artículo 32.2.).
4.3. Notificación de la violación de seguridad de datos personales
Las organizaciones deben notificar a las autoridades competentes cualquier violación de los datos personales dentro de las 72 h después de que se tengan constancia de este hecho (artículo 33). Dentro de esta notificación se den incluir las posibles consecuencias del incidente o las medidas puestas en marcha para remediarlo.
En todo caso, el responsable del tratamiento de los datos debe documentar todo lo relacionada con la violación de datos personales: qué sucedió, cuáles fueron las consecuencias, cómo se actuó, qué medidas se han puesto en marcha para corregir las deficiencias en materia de ciberseguridad y protección de datos…
Esta documentación permitirá a la autoridad competente comprobar si la organización cumplió o no con sus obligaciones de ciberseguridad y protección de datos.
4.4. Comunicación a los afectados
Además de notificar a la autoridad competente, empresas y administraciones que detecten una violación de la seguridad de los datos están obligadas a informar a los interesados si creen que el incidente puede afectar a sus derechos y libertades (artículo 34).
No resulta obligatorio realizar esta comunicación si se da alguna de estas tres condiciones:
- Ha puesto en marcha las medidas técnicas y organizativas necesarias para que los datos de las personas resulten ininteligibles.
- Se han implementado medidas a posteriores que permiten garantizar que el riesgo no se va a concretar.
- Que informar a todos los afectados resulte desproporcionado. En este caso, se debería realizar una comunicación pública.
El reglamento establece, además, que, si la organización no ha informado a los interesados sobre la violación de sus datos personales, la autoridad competente podrá exigírselo si se considera que el incidente supone un riesgo elevado.
5. Sanciones económicas en materia de ciberseguridad y protección de datos
El RGPD confiere un amplio abanico de funciones a las autoridades competentes de protección de datos, que en el caso de nuestro país es la AEPD. Dentro de su catálogo de poderes se encuentra la posibilidad de imponer sanciones económicas como la que la Autoridad de Protección de Datos de Irlanda dictó contra Meta.
En lo relativo a los incumplimientos en materia de ciberseguridad y protección de datos, la norma contempla dos multas administrativas diferentes:
- Si se infringen los artículos 32, 33 o 34, pueden imponer sanciones administrativas de hasta 10 millones de euros o el 2% del volumen de negocio anual a nivel mundial de la empresa, pudiéndose elegir la cuantía más alta.
- Si se incumple el artículo 5 sobre los principios básicos del tratamiento de datos entre los que se encuentra la seguridad, las multas pueden ascender a los 20 millones de euros o el 4% del volumen de negocio en todo el mundo durante un año.
Del otro lado del Atlántico, las multas también son millonarias, como evidenció el caso de T-Mobile, pero también otros procesos recientes, como el protagonizado por el grupo hotelero Marriot. La Federal Trade Commission (FTC) ha obligado a la compañía poner en marcha un programa de seguridad de la información eficaz tras ser víctima de múltiples ciberataques que provocaron la sustracción de datos de millones de consumidores.
Además, la compañía llegó a un acuerdo con 49 estados para abonar 52 millones de dólares por sus incumplimientos en materia de ciberseguridad y protección de datos.
6. Más allá de las multas: Severos daños reputacionales y cuantiosas pérdidas económicas
Las sanciones económicas pueden llegar a ser tan elevadas que repercutan de manera notable en las finanzas de una empresa. A ello debemos sumar otras tres consecuencias graves de los incidentes de seguridad en los que se producen brechas de datos:
- Elevados gastos en la gestión del incidente. Más allá de las multas, las compañías tienen que invertir una gran cantidad de recursos económicos en gestionar los incidentes, investigarlos e implementar medidas para evitar que se vuelvan a producir.
- Pérdidas económicas directas si el secuestro de datos personales impacta en la operatividad de la empresa y su capacidad de realizar sus actividades y prestar servicio a sus clientes. A las que debemos sumar daños económicos derivados de la pérdida de clientes o de procesos judiciales que finalicen con la obligación de abonar indemnizaciones a las personas cuyos datos hayan sido vulnerados.
- Daños reputacionales incuantificables. Si una persona ve cómo sus datos personales caen en manos de ciberdelincuentes e, incluso, llega a ser víctima de un fraude, la confianza en la empresa afectada por la brecha de datos se verá rota para siempre. La filtración de datos personales después de que se produzcan ciberataques exitosos daña irremediablemente la reputación de las empresas que los sufren y menoscaban su relación con clientes, socios y trabajadores.
7. ¿Qué pueden hacer las empresas para proteger sus datos frente a los ciberataques?
La relevancia de la ciberseguridad y la protección de datos es, hoy en día, insoslayable. Las brechas de datos se han convertido en una amenaza de primer nivel para las empresas. Y no solo para las grandes compañías, sino también para las pymes.
En lo que va de año, la AEPD no solo ha sancionado a corporaciones de grandes dimensiones, sino que podemos encontrarnos con multas a empresas pequeñas o medianas que carecían de las suficientes medidas en materia de ciberseguridad y protección de datos. Entidades, además, que operan en sectores tan dispares como el turístico o el sanitario.
Para cumplir con la normativa en vigor y evitar que un ciberataque se salde con la sustracción de datos personales, las empresas tienen a su disposición un amplio abanico de servicios de ciberseguridad que se pueden adaptar a sus necesidades y recursos.
7.1. Servicios de ciberseguridad para optimizar la prevención, detección y respuesta a ataques
- Auditorías de seguridad. Son fundamentales a la hora de evaluar las medidas y mecanismos que permiten proteger los datos personales de clientes, trabajadores o socios como la encriptación de los datos.
- Pentesting. La realización de test de intrusión avanzados contribuye a detectar vulnerabilidades que podrían ser explotadas por actores maliciosos para robar datos personales.
- Gestión de vulnerabilidades. De cara a supervisar las vulnerabilidades que puedan afectar a los sistemas corporativos, priorizar su remediación y gestionar todo su ciclo de vida.
- Ejercicios de Red Team. Las empresas más maduras en materia de ciberseguridad pueden someterse a ejercicios de Red Team centrados en simular ataques de ransomware. ¿Con qué fin? Comprobar cómo funcionan los mecanismos defensivos, formar a los profesionales a cargo de la defensa de la organización y optimizar las capacidades de detección y respuesta.
- Respuesta a incidentes. Los servicios de respuesta a incidentes proactiva son capaces de responder a cualquier ataque en menos de 1 hora, contener al actor hostil y expulsarlo en el menor tiempo posible y con las máximas garantías. Una respuesta a incidentes óptima puede evitar que los ciberdelincuentes cumplan sus objetivos y se hagan con el control de datos personales.
En definitiva, ciberseguridad y protección de datos son dos áreas de enorme trascendencia para las empresas en un mundo plenamente digitalizado como el actual. Además, las estrategias de ciberseguridad juegan un papel de suma relevancia a la hora de proteger los datos que las empresas almacenan sobre sí mismas, sus plantillas y sus clientes.
Los servicios de ciberseguridad resultan esenciales para garantizar la protección de los datos, evitar que los actores maliciosos logren hacerse con datos de índole personal, resolver incidentes y eludir millonarias multas por infringir la normativa de protección de datos.