¿Sabrías decir qué tienen en común Iberia, Telefónica, Banco Santander, ING, Mango o El Corte Inglés? La respuesta es sencilla: en 2025 todas estas empresas españolas sufrieron un ciberataque con robo de datos de clientes incluido.
Esta era la pregunta fácil, ahora viene la otra que, quizás, te resulte un poco más complicada de responder. ¿Quién tuvo la responsabilidad última en cada uno de estos ataques? Pues la contestación es igual de simple: un tercero, siempre un tercero. Es decir, un proveedor de la cadena de suministro de la empresa atacada que es a quien, parece ser, realmente le han terminado robando los datos.
Dentro de este mismo patrón de ataques, lo cierto es que, como usuarios, nos estamos acostumbrando a recibir cada cierto tiempo un correo de alguna de las muchas empresas a las que le hemos dado nuestros datos comunicándonos que un proveedor externo con los que trabaja habitualmente ha sufrido un ciberataque donde nuestros datos se han visto comprometidos.
El comunicado que recibimos ha terminado por convertirse en un copia y pega, donde solo cambia el logo y poco más y, en la práctica, únicamente sirve para que la empresa afectada, de la que tú sí eres cliente, cumpla el RGPD y se libre de una sanción de la Agencia Española de Protección de Datos (AEPD).
Mientras, tus datos y los de otros miles de clientes, ya están a la venta en la darkweb listos para ser comprados por alguien dispuesto a estafarte. La probabilidad de que alguno de los miles de usuarios potencialmente afectados caiga en el engaño de un ciberdelincuente es tan alta que la compraventa de datos robados es un negocio redondo.
Esta es la situación en la que nos hemos acostumbrado a vivir y todo apunta a que seguiremos exactamente igual porque eso de echarle la culpa a un tercero queda muy bien para la galería y, aunque no dudo que sea cierto, para el usuario final resulta totalmente indiferente.
Sobra decir que, en caso de la AEPD llegara a sancionar por alguna razón a alguna de las empresas afectadas, en la práctica no tiene ningún tipo de transcendencia para las personas que han visto como sus datos han sido exfiltrados, pues no recibirán contraprestación alguna por el daño causado.
En este sentido, parece que la NIS2 y, recientemente, Ómnibus Digital, pretenden poner un poco de orden en todo esto, pero lo cierto es que las expectativas son muy bajas.
Básicamente, porque en el caso de la NIS2 solo afectará a servicios esenciales y, por ejemplo, todo el sector del retail quedaría fuera, por no mencionar que en España la transposición de la NIS2 acumula un retraso que nos mete de lleno en el vagón de cola de la ciberseguridad en Europa. Con este antecedente es fácil imaginar que a Ómnibus Digital le espera una travesía del desierto similar.
A todas estas, y para ser justos, conviene no olvidar que cuando una empresa o una persona física sufre un ciberataque es víctima de un delito cometido por un ciberdelincuente que es el verdadero culpable del robo de datos.
Pero también es cierto que el responsable último del cuidado de nuestros datos es la empresa a la que se lo hemos dado, y esta responsabilidad debe traducirse en algo que vaya mucho más allá de las buenas intenciones o de una declaración de principios.
Estaría bien que las empresas que nos sean capaces de asumir la responsabilidad de custodiar los datos de sus clientes dejaran de hacerlo porque, en la práctica, ya sabemos lo que está pasando. La responsabilidad de almacenar los datos de los clientes debe ser un ejercicio consciente que tenga consecuencias directas y reales que se traduzcan en una indemnización a los afectados que tiene que ir más allá de la multa de la AEPD.
Mientras las cosas no cambien las personas nos seguiremos moviendo en la más absoluta indefensión y solo nos queda asumir que nuestros datos personales, o ya han sido robados, o lo serán en breve. Es una pena, pero a día de hoy, es lo que hay porque, como ya sabemos, en estos casos nunca hay culpables.
