El pasado noviembre, la Agencia Española de Protección de Datos (en adelante AEPD) resolvió sancionar a una empresa con una multa de 20.000 euros —reducida a 16.000 euros por pago voluntario— por una infracción grave del artículo 32 del Reglamento General de Protección de Datos (en adelante RGPD). La sanción estuvo motivada por una práctica que, de entrada, puede parecer inofensiva, pero que implicaba un riesgo significativo para la privacidad de los usuarios: el envío de credenciales de acceso (usuario y contraseña) por correo electrónico sin medidas de seguridad adicionales.
Este caso es especialmente relevante para las pequeñas y medianas empresas (pymes) que gestionan datos personales, pues demuestra que el tamaño o los recursos limitados no eximen de cumplir con la normativa de protección de datos. En este artículo analizaremos en detalle los antecedentes, los hechos probados, los fundamentos jurídicos de la sanción, las medidas impuestas y, lo más importante, como conclusión, las lecciones que podemos extraer para evitar situaciones similares.
Así las cosas, en primer lugar, vamos a revisar los motivos que han dado lugar a la sanción:
Todo comenzó con la reclamación de un usuario que, al registrarse en la web de la entidad reclamada para la compra de libros escolares, recibió un correo electrónico automático de confirmación. El problema radicaba en que dicho correo incluía tanto la dirección de email del usuario como la contraseña que había elegido durante el proceso de registro, todo ello en texto plano.
La parte reclamante se pone en contacto con la empresa y la solicita explicaciones sobre el envío de la confirmación de datos de acceso. El responsable, inmediatamente se pone en contacto con el usuario y le explica que nadie de la organización ni desarrolladores de la página web tiene acceso a las contraseñas de los usuarios, pues éstas se encuentran encriptadas y solo tendrá conocimiento el usuario que hizo el registro.
Según el “Informe de buenas prácticas” de mayo de 2021, CNN-CERT BP02, del Centro Criptológico Nacional, servicio adscrito al Centro Nacional de Inteligencia, la referencia “en texto plano” quiere decir que en cualquier punto de la trasmisión un atacante podría ver y manipular el contenido de los correos.
El afectado presentó pues una reclamación ante la Autoridad Catalana de Protección de Datos, la cual, debido a la competencia estatal del caso, lo derivó a la AEPD. A partir de ahí, la Agencia inició un procedimiento sancionador y trasladó la reclamación a la entidad, otorgándole un plazo para presentar alegaciones y justificar su actuación.
Pasamos a analizar los hechos constatados por la AEPD:
- Envío inseguro de credenciales: la empresa reclamada enviaba automáticamente un correo electrónico con el usuario y la contraseña en texto plano. Aunque las contraseñas estaban cifradas en la base de datos, la transmisión por correo electrónico no contaba con medidas adicionales de protección.
La AEPD determina que correo electrónico no puede considerarse un medio apropiado para el envío y conservación de contraseñas de usuarios, y, en mayor grado, cuando se envía de forma conjunta el usuario a quien pertenece. El hecho de que el email sólo se envíe al cliente que ha introducido los datos, no es garantía de que los datos no puedan ser interceptados.
- Correo electrónico como vector de riesgo: La Agencia subrayó que el correo electrónico, incluso si se usa cifrado TLS, no garantiza una protección absoluta. Los servidores intermedios o los dispositivos de los usuarios podrían ser vulnerables a ataques, permitiendo que terceros accedan a las credenciales.
- Persistencia en la práctica insegura: A pesar de que el usuario afectado contactó con la empresa para advertir del problema, la empresa no modificó esta práctica hasta que la AEPD intervino y adoptó medidas provisionales.
- Medidas correctivas tardías: Solo tras la intervención de la AEPD, la parte reclamada dejó de enviar las contraseñas por correo electrónico y eliminó esa funcionalidad de su plataforma web. Sin embargo, la Agencia dejó claro que las medidas correctivas adoptadas después de una reclamación no eximen de la responsabilidad por la infracción.
En sus alegaciones, la empresa argumentó varios puntos para intentar justificar su actuación:
- Pequeña dimensión y recursos limitados: Alegaron ser una microempresa con pocos recursos y que la sanción económica podía poner en riesgo su viabilidad.
- Cifrado interno de contraseñas: Afirmaron que, aunque las contraseñas se enviaban por correo, internamente estaban almacenadas cifradas y que solo los usuarios podían conocerlas.
- Autenticación en dos pasos con código de centro: Explicaron que, para completar el registro y realizar compras, los usuarios también necesitaban un código proporcionado por el centro educativo.
Sin embargo, la AEPD desestimó estas alegaciones, recordando que la protección de datos personales es un derecho fundamental que no depende de los recursos económicos de una empresa. Además, señalaron que la doble autenticación basada en el código de centro no mitigaba el riesgo de exposición de las credenciales enviadas por correo.
Nos centramos ahora en los motivos por los que la Agencia considera que se ha vulnerado el articulo 32 RGPD:
Dicho precepto establece que los responsables y encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Seudonimización y cifrado de datos personales.
- Garantía de confidencialidad, integridad y disponibilidad de los sistemas.
- Capacidad de restaurar rápidamente los datos tras un incidente.
- Revisión periódica de la eficacia de las medidas de seguridad.
El RGPD no exige medidas específicas, sino que cada empresa debe evaluar los riesgos del tratamiento y aplicar soluciones proporcionales para mitigarlos, bajo el principio de responsabilidad proactiva (art. 5.2 RGPD).
Motivos concretos:
1.- Envío de credenciales por correo electrónico sin cifrar:
- Usuario y contraseña enviados juntos: Al remitir las credenciales en el mismo correo, se facilitaba a un atacante potencial todo lo necesario para acceder a las cuentas de los clientes.
- Correo electrónico como canal inseguro: A menos que se utilicen protocolos de cifrado extremo a extremo, los correos pueden ser interceptados durante la transmisión o comprometidos si la cuenta del destinatario es hackeada.
- Sin doble factor de autenticación (2FA): No se implementó ningún mecanismo adicional que mitigara el riesgo de acceso indebido, como una verificación por SMS o aplicación autenticadora.
2.- Falta de cifrado o seudonimización de credenciales:
- Contraseñas en texto plano.
3.- Ausencia de evaluación de riesgos y medidas proporcionales. Incumplimiento del principio de responsabilidad proactiva.
4.- Exposición innecesaria de datos personales: El envío de credenciales sin protección implica una exposición innecesaria de información sensible que podría ser explotada en caso de interceptación o brecha de seguridad.
Tras analizar todos los elementos del procedimiento, la AEPD concluyó que la entidad reclamada había cometido una infracción grave del artículo 32 del RGPD. Para determinar la cuantía de la sanción, la AEPD tuvo en cuenta varios factores agravantes recogidos en los artículos 83.2 del RGPD y 76.2 de la LOPDGDD:
- Naturaleza, gravedad y duración de la infracción: La empresa no protegió contraseñas de acceso a la web, un dato clave cuya exposición podría facilitar accesos no autorizados y suplantación de identidad.
- Categoría de los datos personales afectados: Las contraseñas son datos sensibles que requieren protección especial, dado que su acceso indebido pone en peligro la seguridad y privacidad de los usuarios.
- Vinculación de la actividad con el tratamiento de datos personales: Dado que la actividad principal de la empresa implica la gestión continua de datos personales de sus clientes para procesar las compras online, se considera que la responsabilidad es mayor.
Por tanto, la remisión del usuario y contraseña en un único correo sin ningún tipo de medida de seguridad supone la falta de un sistema robusto para evitar riesgos a los datos personales, lo que confirman la responsabilidad de la empresa, incluso sin que se haya producido un daño directo, debido a que la falta de diligencia en la implementación de medidas de seguridad pone en riesgo los derechos de los interesados.
Una buena práctica para proteger la seguridad de las cuentas es optar por no enviar la contraseña en texto plano sin encriptar, sino por un enlace temporal para que el usuario establezca su propia contraseña.
El presente supuesto sirve como un recordatorio contundente de las consecuencias de no cumplir con los estándares de seguridad exigidos por el RGPD. Las empresas que manejan datos personales deben ser proactivas en la protección de esta información, implementando medidas de seguridad robustas y revisándolas periódicamente para adaptarse a nuevos riesgos. No solo están en juego sanciones económicas, sino también la confianza de los usuarios y la reputación corporativa. Cumplir con la normativa de protección de datos es, en definitiva, una inversión en la sostenibilidad y el éxito a largo plazo del negocio.
