Hace unas semanas me sucedió un caso que, como poco, me dejó sorprendido, por no decir disgustado, decepcionado… La cosa ocurrió más o menos así. A primerísima hora del lunes y con tono de muchísima urgencia, nos llamó una empresa que había sufrido un ciberataque durante la noche del sábado por medio de un ransomware.
Como suele pasar en este tipo de ataques, los ciberdelincuentes habían encriptado todos los equipos, incluido el servidor, por lo que la compañía estaba totalmente bloqueada. Eso explicaba la urgencia de la llamada del CEO que buscaba, como fuera, una solución inmediata para reactivar su negocio. Además, los atacantes habían dejado un mensaje con una dirección de Internet para ponerse en contacto con ellos en caso de que la empresa quisiera recuperar sus datos cifrados.
Hasta aquí lo normal. Pusimos en marcha el protocolo habitual, activamos el Gabinete de Crisis y acordamos con el cliente volver a reunirnos dos horas después para tener tiempo de organizar los equipos de trabajo. Pero la realidad es que la reunión nunca se llegó a realizar. Y entonces, ¿qué pasó?
Resultó que su informático de cabecera guardaba, en su casa, una copia de seguridad en un disco duro externo que, por supuesto, no estaba cifrado. Sin encomendarse a nada ni a nadie, la repuso y listo. La empresa estaba otra vez operativa y el incidente de seguridad había quedado solo en un susto. Tal cual, como si no hubiera pasado nada.
Cuando preguntamos a la empresa si creían que había habido exfiltración de datos, la respuesta fue un NO rotundo, pues dijeron que tras analizar el tráfico y la volumetría de los últimos 30 días de su firewall no habían detectado nada extraño, pero la realidad no era exactamente como nos la estaban contando.
Entre la llamada de primerísima hora del lunes y el tiempo que transcurrió hasta la reunión que nunca se llegó a realizar, nuestro equipo de Respuesta ante Incidentes ya había contactado con el ciberdelincuente quien, a su vez, nos facilitó la relación de los 19.331 ficheros que había conseguido extraer de los sistemas de la empresa.
Entre toda la información robada había nóminas, contratos, cuentas corrientes, informes médicos de sus trabajadores, notificaciones de embargos, sentencias judiciales… y todo lo normal en una empresa del mundo del retail que factura más de 30 millones de euros.
La confirmación de que sí había habido robo de información sensible cambiaba radicalmente las cosas. Así que, con las novedades volvimos a contactar con la empresa para comunicarles que estaban equivocados y que sí había habido una exfiltración de datos sensibles y que, a partir de aquí, tenían un plazo de 72 horas para comunicarlo a la Agencia Española de Protección de Protección de Datos y actuar en consecuencia.
Pero lo único cierto es que solo obtuvimos la callada por respuesta. Volvimos a insistir, pues en muchas ocasiones las empresas no conocen bien sus obligaciones y no son conscientes de las consecuencias a las que se exponen al incumplir la LOPD, pero lo dicho, ni caso.
Lo realmente sorprendente es que, en esta ocasión, la empresa era plenamente consciente de sus obligaciones y había decidido incumplirlas y no comunicar el incidente a la AEPD, y por supuesto, tampoco a las partes interesadas: clientes, trabajadores, proveedores… es decir, todas las personas que tenían ahora sus datos personales comprometidos gracias a la brecha de seguridad de su compañía.
¿Qué hacer en estos casos, aparte de escribir esta columna y digerir la frustración?
Lo cierto es que cumplir el RGPD no es una opción que podamos elegir, es una obligación que muchas empresas parece que han olvidado. Recordemos que cuando sufrimos un ciberataque somos víctimas y nadie nos puede reprochar nada, pero al mismo tiempo tenemos unas obligaciones legales que no podemos eludir.
Por suerte, cada vez son más las empresas concienciadas que sí cumplen con sus responsabilidades cuando sufren un incidente de seguridad. Ojalá, este sea el último caso que nos encontremos. De verdad que no es muy difícil hacerlo bien, solo se trata de cuidar los datos personales de los demás como si fueran los tuyos propios. Así de simple.
Menos mal que aún nos queda la esperanza de pensar que si la Guardia Civil, donde la empresa presentó denuncia, hace la misma investigación que nuestro equipo de Respuesta a Incidentes, descubrirá que sí hubo exfiltración de datos, se lo comunicará a la AEPD quien podrá actuar de oficio.
Por cierto, ¿alguien sabe cuánto es el 4% de 30M? Pues ese es el importe de la multa que le espera a la empresa por pasarse de frenada.
