Home / Publicaciones / ¿Qué debería hacer para evitar sanciones en casos de...

¿Qué debería hacer para evitar sanciones en casos de ciberataques que causen una brecha de seguridad de los datos personales?

Post jurídico | Octubre 2020

Miguel Recio 

En febrero de 2020 uno de los principales operadores de telefonía móvil, telefonía fija, banda ancha y televisión digital en nuestro país sufrió un ciberataque, denominado credential stuffing, que tenía por finalidad obtener acceso no autorizado a las cuentas de usuarios de este operador de comunicaciones electrónicas.

Este ciberataque, consistente en el envío masivo de solicitudes de login, es una subcategoría de un ataque de fuerza bruta llevado a cabo a través del uso de un gran número de credenciales de usuario en un sitio web para que, si alguna coincide con un usuario registrado, poder lograr un acceso ilícito y usar posteriormente esta información con otras finalidades, también ilícitas.

En concreto, el o los ciberatacantes utilizaron una API (abreviatura en inglés de Application Programming Interfaces), que es la interfaz de programación de aplicaciones y que permite la comunicación entre aplicaciones de software a través del uso de un conjunto de reglas. La API utilizada fue APIXOAUTH2PASSWORD para validar si las credenciales de usuario (pares de dirección de correo/contraseña) existían en el sitio web del operador de comunicaciones electrónicas y conseguir así un acceso no autorizado a datos personales de los usuarios registrados, así como en su caso otra información.

El ciberataque dio lugar a una brecha de seguridad de los datos personales que fue notificada por el operador de comunicaciones electrónicas, dentro del plazo de 72 horas, a la Agencia Española de Protección de Datos (AEPD). Según la información publicada sobre la brecha de seguridad, una aplicación del operador de comunicaciones electrónicas “experimentó un ataque credential stuffing” que fue detectada debido al “alto volumen de peticiones producidas (2,4 Millones de peticiones/día). Todas estas peticiones usaban el mismo “Transaction ID” y las mismas se producían mayoritariamente desde 2 rangos de IP que fueron bloqueados, aunque posteriormente se diversificó el número de IPS utilizadas hasta las 58.567”. Los datos personales afectados fueron las “credenciales de acceso o identificación”, pudiendo haberse conseguido el acceso a 3.984 cuentas de clientes, según los resultados de la investigación.

 En cuanto a las posibles utilizaciones posteriores de los datos personales, según la información publicada, se “detectaron actividades anormales en las activaciones de servicios de valor añadido” relativos a una conocida plataforma de distribución de contenidos audiovisuales que opera a nivel mundial. Como medida para dar solución a esta situación, se procedió a la suspensión de las cuentas de usuario en esta plataforma, también con la finalidad de evitar otros usos fraudulentos.

Además, con la finalidad de minimizar el impacto de la brecha, el operador de comunicaciones electrónicas procedió a:

  • Reiniciar las cuentas de usuarios que se vieron comprometidas como consecuencia del ciberataque;
  • Notificar a los clientes afectados y recomendar que revisasen sus contraseñas usadas en otros portales y servicios electrónicos, y
  • Bloquear todas las cuentas de usuarios potencialmente fraudulentas en la plataforma de distribución de contenidos audiovisuales.

Estas medidas se suman a otras acciones llevadas a cabo para la resolución final de la brecha de seguridad de los datos personales, consistentes, entre otras, en el bloqueo selectivo de rangos de direcciones IP; contestar en cualquier caso al “Transaction ID” usado por el ciberatacante con la repuesta “contraseña incorrecta”; implementar una solución específica para este tipo de ataques y modificar la regla WAF (abreviatura en inglés de Web Application Firewall), que a diferencia del firewall o cortafuegos normal es un cortafuegos dedicado a aplicaciones web con la finalidad de filtrar, monitorear y bloquear las conexiones, de manera que sirve reducir el número de peticiones recibidas por el sitio web del objetivo del ciberataque.

La actuación responsable del operador de comunicaciones electrónicas dio lugar en este caso a que las actuaciones de investigación de la AEPD fueran archivadas, lo que se llevó a cabo a través de la Resolución de archivo de actuaciones en el Procedimiento Nº E/01558/2020. La Resolución de la AEPD menciona expresamente que el operador de comunicaciones electrónicas “una vez detectado el ataque a su sistema de información, actuó con la diligencia debida minimizando el impacto e implementando las oportunas medidas correctoras para evitar la repetición de hechos similares”.

En definitiva, haber adoptado medidas técnicas y organizativas adecuadas en atención al riesgo existente, así como contar con un asesoramiento experto por lo que se refiere al cumplimiento de las obligaciones en materia de protección de datos y la gestión del riesgo jurídico derivado del ciberataque, son esenciales para evitar daños que afectan a la seguridad de los datos personales y sanciones, que pueden ir desde el apercibimiento hasta las multas. Y lo anterior sin contar con el impacto que un ciberataque y una brecha de los datos personales puedan tener para la reputación de la organización que los sufra.

La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.

Autores

Miguel Recio
Asociado
Madrid