Difunden los datos de clientes de Phone House: ¿qué hacer si eres uno de los afectados?
Para que los usuarios tengan derecho a una indemnización por perjuicios, se deberá demostrar que la brecha de seguridad es culpa de una infracción de la empresa
Robo de datos. (iStock)
Por
J. R. S.
El grupo de ciberdelincuentes Babuk ha cumplido su amenaza y ha comenzado a difundir los datos de millones de clientes de la empresa Phone House. El pasado 17 de abril la compañía fue víctima del robo de 10 bases de datos con información privada (nombres completos, números de DNI, cuentas bancarias, móviles personales, correos, direcciones postales, entre otros aspectos) y, al no plegarse al chantaje de los atacantes, estos han publicado una primera parte del material, en concreto más de 100 gigas.
¿Qué pueden hacer los usuarios afectados por este ciberataque? El artículo 82 del Reglamento General de Protección de Datos (RGPD) establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la citada ley tiene derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. No obstante, para recibir una compensación se deben dar dos supuestos:
Que la brecha de seguridad haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos) y que esta sea la causa de que el ataque haya prosperado.
Que haya una relación causa-efecto clara entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).
Es difícil hacer afirmaciones categóricas sobre si alguno de estos dos supuestos se cumple. La empresa aún no ha dado su versión sobre el ciberataque y, por el momento, solo se tiene la de Babuk, que asegura haber conseguido los datos a través de su 'ramsomware' homónimo, un tipo de 'malware' que roba los sistemas de un equipo e impide a su dueño acceder hasta que no pague un rescate. "No siempre una brecha tiene su origen en un ataque, ya que podría deberse a un accidente", aclaran desde el servicio de asesoría jurídica Legálitas.
El RGPD obliga a que la empresa notifique a los usuarios afectados con el fin de que estos puedan emprender las acciones necesarias
Respecto al segundo punto, El Confidencial ha accedido a la información filtrada y ha comprobado que, en efecto, corresponde a clientes de Phone House. El día del ciberataque Babuk aseguró que, si no recibía el dinero que pedía, la publicaría en su blog público y en foros de 'darknet', además de enviársela a todos los socios y competidores de la multinacional. Quienes consideren que ambas condiciones se reúnen pueden iniciar un procedimiento civil con la ayuda de un abogado.
El reglamento europeo obliga a la empresa responsable del tratamiento de los datos a notificar a la autoridad de control competente (Agencia Española de Protección de Datos o las autonómicas en su caso) las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento. La compañía no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes. Además, deberá notificar a las personas cuyos datos se han visto afectados.
Parte del mensaje difundido por los ciberdelincuentes hacia Phone House.
Protege tu correo y llama al banco
Más allá del terreno legal, si el usuario tiene constancia de que sus datos se han visto comprometidos, debe emprender una serie de acciones para evitar sufrir otros daños. Por ejemplo, si se ha filtrado el correo electrónico, lo recomendable es cambiar las contraseñas, activar la verificación en dos pasos y prestar especial atención a correos sospechosos o de remitentes des conocidos que soliciten hacer clic en algún enlace o descargar un archivo. Este tipo de 'malwares' son muy comunes y, en muchas ocasiones suplantan a empresas o a organismos públicos.
Si se ha filtrado el número de la tarjeta de crédito y, sobre todo, el código CVV, se aconseja ponerse en contacto de inmediato con la entidad bancaria en cuestión y solicitar el bloqueo. Si lo que aparece en la lista de datos filtrados es la cuenta bancaria, también es importante avisar al banco y extremar la precaución por si se detecta algún cargo sospechoso. Estas medidas pueden ir acompañadas de una correspondiente denuncia en caso de que se sustraiga dinero.
El grupo de ciberdelincuentes Babuk ha cumplido su amenaza y ha comenzado a difundir los datos de millones de clientes de la empresa Phone House. El pasado 17 de abril la compañía fue víctima del robo de 10 bases de datos con información privada (nombres completos, números de DNI, cuentas bancarias, móviles personales, correos, direcciones postales, entre otros aspectos) y, al no plegarse al chantaje de los atacantes, estos han publicado una primera parte del material, en concreto más de 100 gigas.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F31e%2Feb6%2F075%2F31eeb607530fa87016c00fbde139b282.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd74%2F5da%2F84b%2Fd745da84b6981d379996abceb9d34c18.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd74%2F5da%2F84b%2Fd745da84b6981d379996abceb9d34c18.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7c9%2F6b9%2Fc31%2F7c96b9c316a9b592a7d6176c431efc36.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6e4%2F950%2F84c%2F6e495084c3716418e7682c299d589986.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0e2%2F339%2Ff79%2F0e2339f797a2d03565288c71ae857592.jpg)