¡Se filtraron mis datos!: ¿qué recomiendan los abogados en estos casos?
Según la AEPD, en el primer cuatrimestre recibieron un 29,4% más de notificaciones de filtraciones de datos que durante el mismo periodo del mes anterio
Las estafas online son cada vez más comunes. Pero algunas de ellas van un paso más allá, y consiguen robar datos de las personas, lo que se conoce como filtración de datos. Aunque sean de forma involuntaria, muchas veces esto lleva a graves problemas. Además, hoy existen cientos de casos en los que se ha notado el aumento de ciberestafas para conseguir datos personales o datos de cuentas bancarias. WhatsApp, los correos electrónicos, los móviles o los portátiles son una mina de oro para los ciberdelincuentes que buscan estafar a los ciudadanos y las empresas. Pero entonces, ¿qué puedo hacer en estos casos?, ¿qué me recomiendan los abogados para prevenir estas situaciones?
"Cada vez es más frecuente, tanto en España como a nivel internacional, la compraventa de datos obtenidos mediante ataques informáticos a servidores de organismos públicos y privados, cuyos efectos pueden afectar a la intimidad de las personas así como a nivel económico", señala Natalia Martos, CEO y fundadora de Legal Army, consultora española de ALSP. Es más, la Agencia Española de Protección de Datos (AEPD), en su informe Notificaciones de Brechas de Datos Personales, aseguró que solo durante el primer cuatrimestre de 2024 recibieron más de 1.000 notificaciones de filtraciones de datos, un 29,4% más que durante el mismo período el año anterior, proviniendo 794 de las notificaciones de organizaciones del ámbito privado.
Sin embargo, antes de que pase cualquier cosa, el socio de Privacidad de Datos, Ciberseguridad y Activos Digitales de Squire Patton Boggs, Bartolomé Martín, recomienda ser precavidos siempre y "no esperar a que se produzca un incidente para tomar medidas". Pero en caso de que ocurra, los expertos recomiendan averiguar, en primer lugar, cuál fue el impacto de la filtración y cuáles fueron los datos que se filtraron, ya que, "no es lo mismo que se haya filtrado el nombre del usuario, que los métodos de pago o la contraseña del correo electrónico", apunta Paloma Arribas, socia de Baylos.
Una vez que ya se conoce esto, piden que se actúe de forma rápida. En primer lugar, realizar una denuncia ante las Fuerzas y Cuerpos de Seguridad, ya que con este respaldo el afectado podrá tener pruebas en caso de que se utilicen los datos filtrados de alguna forma fraudulenta por terceros. Martín también incide en que se puede informar a la misma AEPD sobre la filtración, ya que se encarga de velar por el cumplimiento de la normativa de protección de datos y podría tomar medidas contra la entidad responsable de la filtración. Ambos expertos coinciden en que otro de los pasos fundamentales será cambiar las contraseñas, y no solo de la web o plataforma donde se produjo la filtración: "Elige una contraseña fuerte y única que no hayas usado en otros sitios", sentencia Martín.
* Si no ves correctamente el módulo de suscripción, haz clic aquí
A su vez, si se utiliza la misma contraseña en otras páginas online, deberán cambiarlas, porque los ciberdelincuentes "podrían intentar acceder a tus otras cuentas con la misma clave", añade el socio de Squire. Arribas añade que hay que comprobar desde qué dispositivo se ha accedido a la cuenta para revisar si hay accesos desde sitios que no se reconocen; es decir, si utilizó el ordenador del trabajo o personal, una tablet, el móvil, etc. A esto Martín suma que hay que verificar si hay inicios de sesión desde ubicaciones o dispositivos desconocidos en la web afectada. "Si es posible, cierra sesión en esos dispositivos", apunta, al tiempo que indica que lo mejor sería revisar las cuentas bancarias, tarjetas de crédito y perfiles en redes sociales para detectar cualquier actividad sospechosa.
Desde hace un tiempo, diferentes compañías están recomendando a sus empleados que activen la verificación en dos pasos de la gran mayoría de las cuentas en las que se permite. Esto da paso a una mayor complejidad al acceso, ya que requerirá de un código adicional (que se envía por SMS, correo electrónico o es generado por una aplicación) además de la contraseña normal de inicio de sesión, explican los expertos. Arribas incorporaría al listado que se actualicen las versiones de software de forma permanente en los diferentes dispositivos, así como no conectarse en redes de wifi públicas que no estén protegidas.
Por ejemplo, el mismo informe de la AEPD sobre la brecha de datos personales indica respecto a los medios de materialización de las filtraciones que la que mayor cantidad provino de ciberincidentes por acceso no autorizado a datos en Sistemas de Información; seguido de ciberincidentes por dispositivo cifrado o secuestro de información; y en tercer lugar, los ciberincidentes por suplantación de identidad (phishing) y luego están los de daños involuntarios como el envío de datos por error a través de postal o electrónicamente. En otras posiciones también está la publicación no intencionada o autorizada, documentación perdida o robada, entre otros.
¿Existen medidas para prevenir o evitar las filtraciones?
Desde Baylos aclaran, al igual que en los datos anteriormente expuestos en el documento de la AEPD, que hay que tener en cuenta que las filtraciones pueden ser causadas por diferentes motivos, ya sean voluntarios o involuntarios. Entre las causas más comunes del primero, por ejemplo, está el error "inocente" de enviar información a un destinatario equivocado o pérdidas de dispositivos. "Pero también hay personas internas maliciosas, ataques de phishing o cualquier otro ciberataque dirigido". Aunque sabe que evitar al cien por cien la existencia de filtraciones es difícil, afirma que de igual forma se pueden implementar medidas para tratar de evitarlas o, al menos, limitar sus efectos. Estas medidas deben ser tomadas tanto por las empresas como por los particulares.
La abogada de Baylos dice que la primera medida que deben tomar los particulares es desconfiar de correos electrónicos de (supuestas) entidades bancarias o grandes compañías de suministros, de mensajería, o incluso de organismos públicos que no esperan, cuya dirección remitente es sospechosa o la redacción del correo sea incorrecta, y que contengan mensajes que inciten a realizar alguna acción con urgencia. En esta misma línea, Martín también dice que hay que desconfiar cuando las ofertas "son demasiado buenas", ya que, normalmente, son intentos de phishing. Por otro lado, pide que se revise de forma regular el estado de las cuentas bancarias con el fin de poder detectar cualquier actividad sospechosa y actuar de forma inmediata si se nota algo inusual, "aunque pienses que estás actuando con exceso de celo".
En ámbitos empresariales, desde LegalArmy también añaden que para garantizar la seguridad de los datos personales, las empresas y plataformas "deben adoptar medidas técnicas y organizativas que los protejan frente a accesos no autorizados. Estas medidas no solo deben estar alineadas con el nivel de riesgo identificado y la estrategia de la empresa, sino que han de ser transversales y abarcar desde la contratación de proveedores hasta la formación del personal interno", afirma Martos.
"Las empresas deben implementar medidas de seguridad robustas en sus sistemas para evitar que una brecha de seguridad pueda hacerlos accesibles a terceras personas no autorizadas", explica Arribas. Para ello pueden tomar medidas como tener una política de privilegios mínimos al acceso a datos; restricciones en los dominios de correo electrónico; formación interna en materia de ciberseguridad; protecciones básicas de ciberseguridad en todos los puntos finales de red; borrado de datos confidenciales de sistemas no críticos, o contratar proveedores confiables y que presenten garantías de seguridad suficientes.
Hoy en día, los ciberdelincuentes utilizan una variedad de métodos para robar datos. Entre ellos, tal y como indica el documento de la AEPD, está el phishing por correo electrónico, mensajes de texto y llamadas o por sitios fraudulentos. También está el método del malware (como el spyware), o ataques de ransomware; ataques de intermediario (MITM), SIM Swapping; keylogging; troyanos; sniffing (que ocurre por conectarse a redes de wifi públicas), entre otros.
Las estafas online son cada vez más comunes. Pero algunas de ellas van un paso más allá, y consiguen robar datos de las personas, lo que se conoce como filtración de datos. Aunque sean de forma involuntaria, muchas veces esto lleva a graves problemas. Además, hoy existen cientos de casos en los que se ha notado el aumento de ciberestafas para conseguir datos personales o datos de cuentas bancarias. WhatsApp, los correos electrónicos, los móviles o los portátiles son una mina de oro para los ciberdelincuentes que buscan estafar a los ciudadanos y las empresas. Pero entonces, ¿qué puedo hacer en estos casos?, ¿qué me recomiendan los abogados para prevenir estas situaciones?
- 52 euros por caso y pagos retrasados: la realidad de los abogados de los migrantes en Canarias Lucía Mora. Tenerife
- Canarias sube un 30 % los pagos por sus servicios a los abogados que asisten a los migrantes Lucía Mora. Tenerife
- La Policía detiene a un abogado por blanquear pagos de altos cargos de Guinea Ecuatorial Agencias