Multa histórica por incumplimiento del RGPD tras un ciberataque masivo

20/12/2024
Escrito por Prodat - Consultores y Auditores Informáticos Prodat S.A.

Un reciente caso en España ha puesto en el centro del debate las obligaciones legales en materia de protección de datos y ciberseguridad, así como las consecuencias de no cumplir adecuadamente con el Reglamento General de Protección de Datos (RGPD). La Agencia Española de Protección de Datos (AEPD) impuso una multa histórica de 6,5 millones de euros a una empresa tras un ciberataque que expuso datos personales de millones de personas.

A continuación, analizamos los hechos, las vulneraciones normativas y las implicaciones para empresas y profesionales que trabajan con información personal en el entorno digital.

El caso: un ataque de ransomware con graves consecuencias

En abril de 2021, una compañía tecnológica en España sufrió un ataque de ransomware que permitió a los atacantes sustraer 100 GB de información personal perteneciente a más de 13 millones de personas. Entre los datos comprometidos se encontraban:

  • Nombres, apellidos y números de identificación (DNI, NIE, etc.).
  • Direcciones postales y electrónicas.
  • Información bancaria y contractual.
  • Códigos IMEI de dispositivos móviles.

El grupo de atacantes, conocido como Babuk, utilizó esta información como herramienta de chantaje, publicando parte de los datos en la deep web tras la negativa de la empresa a pagar el rescate. Como resultado, millones de personas quedaron expuestas a riesgos como fraude, suplantación de identidad y otros delitos.

La empresa notificó a la AEPD sobre el incidente, lo que llevó a la agencia a investigar la vulneración de los datos. Tras revisar la situación, la AEPD concluyó que el ataque había comprometido un volumen significativo de datos debido a fallos en las medidas de seguridad adoptadas por la empresa. La agencia consideró que era necesario llevar a cabo investigaciones para determinar la posible vulneración de la normativa de protección de datos.

Alegaciones del investigado y respuesta de la AEPD

La empresa afectada defendió su posición argumentando que su responsabilidad debía ser evaluada como una «obligación de medios«, es decir, que había tomado medidas razonables para proteger los datos, pero que no podía garantizar resultados infalibles, especialmente dado que el ransomware Babuk, utilizado en el ataque, era una amenaza novedosa y sofisticada. Según la empresa, este malware no se conocía hasta principios de 2021 y se posicionó rápidamente como uno de los más peligrosos.

Sin embargo, la AEPD desestimó esta defensa. La agencia señaló que, si bien no se exigía una infalibilidad total en las medidas de seguridad, la empresa no contaba con las medidas adecuadas para mitigar los riesgos en el tratamiento de los datos personales. La falta de medidas adecuadas de seguridad hizo que los datos fueran expuestos a un ataque de esta magnitud.

Además, la empresa alegó que la publicación de los datos en la deep web fue una acción independiente llevada a cabo por los ciberdelincuentes, como parte de un acto de extorsión para obligarles a pagar el rescate. Sin embargo, la AEPD indicó que la responsabilidad de la empresa no podía ser excluida ni atenuada por la actuación de un tercero, citando sentencias previas (como la Sentencia de 22 de junio de 2021 – Rec. 1210/2018 y la Sentencia de 5 de noviembre de 2011 – Rec. 1796/2019), que establecen que la culpa no se desvanece por la posible actuación fraudulenta de terceros, sino que la responsabilidad recae sobre la parte actora por no haber tomado las medidas necesarias.

Artículos del RGPD vulnerados

La resolución de la AEPD identificó varios incumplimientos del RGPD, destacando los siguientes:

  1. Principio de integridad y confidencialidad (artículo 5.1.f)

El RGPD exige que los datos personales sean tratados de manera que se garantice su seguridad, evitando accesos no autorizados, destrucción accidental o pérdida. Este principio obliga a las empresas a proteger los datos mediante medidas técnicas y organizativas adecuadas.

Incumplimiento: La empresa no implementó mecanismos avanzados de seguridad, como el cifrado de datos sensibles o una adecuada gestión de accesos, lo que permitió que los atacantes accedieran fácilmente a la información personal.

  1. Seguridad del tratamiento (artículo 32)

Este artículo establece que las empresas deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad proporcional al riesgo, como cifrado, autenticación multifactor, y sistemas de detección y prevención de intrusiones.

Deficiencias identificadas:

  1. Ausencia de cifrado: Los datos robados estaban almacenados sin protecciones criptográficas, facilitando su publicación.
  2. Autenticación insuficiente: No se implementaron medidas como la autenticación multifactor.
  3. Falta de supervisión: El cortafuegos no estaba configurado adecuadamente.
  4. Actualización de riesgos: No se actualizó el análisis de riesgos ante amenazas emergentes, como ransomware.
  5. Evaluación de impacto y prevención de riesgos (artículo 35)

Las empresas que tratan datos sensibles a gran escala deben realizar evaluaciones de impacto periódicas.

Omisión: La empresa no pudo demostrar que había realizado evaluaciones recientes para identificar vulnerabilidades que facilitaron el ataque.

El recurso ante la Audiencia Nacional

La multa de 6,5 millones de euros impuesta por la AEPD es una de las más altas hasta la fecha y está siendo disputada en la Audiencia Nacional. La empresa presentó un recurso contencioso-administrativo, solicitando la suspensión cautelar del pago, argumentando que la sanción afectaría gravemente sus operaciones. Además, solicitó confidencialidad para ciertos documentos internos, como un informe de auditoría y actas administrativas, pero la Audiencia denegó estas solicitudes, subrayando que no contenían información especialmente sensible.

Conclusiones y recomendaciones

Este caso resalta la importancia de que las empresas adopten un enfoque integral para proteger los datos personales y cumplir con el RGPD. Algunas de las lecciones clave incluyen:

  • Inversión en ciberseguridad: Implementar medidas como cifrado de datos, autenticación multifactor y sistemas de prevención de intrusiones.
  • Actualización continua: Realizar auditorías de seguridad y actualizar los análisis de riesgos ante nuevas amenazas.
  • Planes de respuesta: Diseñar e implementar un plan de respuesta a incidentes, incluyendo simulacros de ataques para evaluar la efectividad del sistema.
  • Formación del personal: Educar a los empleados en buenas prácticas de seguridad y detección de ciberamenazas.
  • Transparencia y documentación: Mantener registros claros sobre las medidas adoptadas para demostrar cumplimiento ante posibles inspecciones o incidentes.

Además, sirve como un  recordatorio contundente de las graves consecuencias que puede acarrear un incumplimiento del RGPD. Más allá de las sanciones económicas, el daño reputacional y la pérdida de confianza de los usuarios pueden tener un impacto significativo en las operaciones de cualquier organización. En un contexto donde los ciberataques son cada vez más frecuentes y sofisticados, las empresas deben asumir un compromiso firme con la seguridad de los datos personales y la protección de los derechos de los ciudadanos.

Para terminar, podéis consultar otros artículos de nuestro blog relacionados con la protección de datos en nuestro blog.

Escrito por: Jorge Rico