Phone House ha tenido uno de los ataques con peores consecuencias para la protección de los datos personales.
Fuente: Canal de YouTube Actualidad IP & IT
El grupo de cibercriminales conocido como Babuk, hackeó hace unos meses a Phone House implantando en su sistema un ransomware. Gracias a esto -afirmaban- es que pudieron obtener un total de 10 bases de datos de la empresa. Y de no recibir un rescate por esta información, la filtrarían en la dark web.
Tal cual, eso fue precisamente lo que hicieron: días más tarde publicaron en su blog la información de 13 millones de clientes y empleados de esta tienda. Entre los datos personales publicados estaban el nombre y apellidos, dni, el número de teléfono, dirección de email, dirección postal e incluso datos bancarios.
Debido a esto, ¿qué debe hacer Phone House ante una brecha de seguridad de este tamaño?. En primer lugar, como entidad privada, debería acudir al INCIBE-CERT, el Centro de Respuesta ante Incidencias Informáticas, establecido por la Directiva NIS, para solventar la incidencia.
Fuente: Photo by Daniel Romero on Unsplash
Las medidas de seguridad que Phone House no implementó
Pero, aparte, existen otras consideraciones en materia de protección de datos que es necesario tener en cuenta. Por ejemplo, el Reglamento establece en su artículo 32 ciertas obligaciones para los responsables del tratamiento en materia de la seguridad. Resulta prácticamente imposible que a través de medidas de seguridad consigamos reducir al 0% el riesgo de un ciberataque, por lo que más que impedirlos, se trata de reducir al máximo el riesgo de sufrirlos. Así, aunque Phone House hubiera tenido unas medidas de seguridad muy bien implementadas, el riesgo sigue ahí.
Por lo tanto, aún sin conocer mayores detalles, es evidente que las bases de datos de Phone House no estaban debidamente cifradas. La anonimización y la seudonimización son unas de las medidas de seguridad establecidas en el artículo 32 que permiten garantizar la confidencialidad de la información. Es decir, si esta pasara a terceros que no deberían de acceder a ella, evitarían que sean capaces de identificar a quienes forman parte de la filtración.
Pero como hemos visto, esta filtración ha evidenciado que los datos no estaban cifrados ni seudonimizados. Y es cierto que Phone House se arriesgaría a una posible sanción por incumplimiento del artículo 32.
Notificar a la AEPD
Asimismo, el Reglamento establece algunas consideraciones adicionales en sus artículos 33 y 34 relativos a la notificación del incidente de seguridad. El primero, establece que el responsable, Phone House, tendrá que notificar la brecha a la autoridad de control, la Agencia Española de Protección de Datos. Esto, claro, cuando la filtración tenga riesgo de afectar a las libertades y derechos de los interesados, en este caso, de sus clientes y empleados.
El riesgo está claro, en tanto que con toda esta información es relativamente sencillo para cibercriminales poder llevar a cabo intentos de estafa como phishing o sim swaps. Pues disponen de una cantidad de información significativa para hacerlo, por lo que sin duda debería de notificarse ante la autoridad de control.
Fuente: Photo by Markus Spiske on Unsplash
Notificar a los interesados
Sin embargo, también debe tenerse en cuenta si la notificación debe realizarse a los interesados. Para ello, el responsable tendría que hacer un análisis sobre si la filtración supone un alto riesgo para que se produzca este perjuicio a las libertades y derechos de los interesados.
Una herramienta útil para determinar esto, es la que AEPD ha puesto a disposición de los responsables del tratamiento: Comunica-Brecha. Con ella, y a través de una serie de respuestas bastante intuitivas, se aconseja si comunicar la brecha a los interesados o no. Nosotros, hemos decidido probarla con este caso y podéis ver los resultados en el vídeo de arriba.
Es cierto, la propia Guía de Brechas de Seguridad de la AEPD, establece que el uso de esta herramienta tampoco equivale, o exime al responsable de realizar su propio análisis. Por ello, si el responsable no quisiera comunicar de la brecha a los afectados, pues Phone House tendría que demostrar fehacientemente, que no existen riesgos para ellos.
Por lo que hemos comentado, no sabemos si se ha notificado todavía la brecha a la Agencia o no. En caso de haberlo hecho, deberían hacerse los trámites necesarios.
Esta comunicación podría hacerse de manera individualizada a los interesados, pero si Phone House considerase muy difícil hacerlo así, podría comunicarlo públicamente. Aunque esto siempre tiene asociado cierto riesgo reputacional. El cual con la filtración actual de los datos y con el eco que se ha hecho en los medios de ello, ya está hecho. Por tanto, no merece la pena arriesgarse a una posible sanción por incumplimiento del artículo 34 para evitarlo.
Autor del vídeo referenciado:
