Es posible que, por mi profesión, tenga el foco demasiado puesto en los Ataques Informáticos, ya sabes lo que quiero decir, tienes un bebé y de repente la ciudad se llena de carritos de bebés. Este pasado mes de mayo tuve la sensación de que fueron demasiados, los ataques declarados por empresas a las que se presupone capacidad económica, para tomar todas las medidas necesarias de cara a proteger sus datos y los datos de sus clientes.
Algo está ocurriendo en/con España
- La UNIVERSIDAD COMPLUTENSE de Madrid sufre un ciberataque y avisa de que se han podido exponer datos personales de los usuarios.
- El BANCO SANTANDER informa de un ciberataque que afecta a clientes y a toda la plantilla.
- IBERDROLA sufre un ciberataque y deja al descubierto los datos de unos 850 000 clientes.
- La DGT investiga la posible venta de datos de 27 millones de conductores.
- TELEFÓNICA investiga una supuesta filtración de datos de 120 000 clientes y empleados.
- DECATHLON España anuncia que ha sufrido un ciberataque.
- El grupo de hackers ShinyHunters asegura haber accedido a la información de 560 millones de clientes de TICKETMASTER.
Filtración de datos tras un ataque
Una filtración de datos ocurre cuando información sensible, confidencial o protegida es robada y divulgada sin autorización. Esta información puede incluir datos personales de los clientes, información financiera, propiedad intelectual, etcétera.
Dicha información es vendida posteriormente por lotes, que se usan para distintos fines como, por ejemplo:
Phishing Específico
A diferencia del phishing genérico, el spear phishing es altamente dirigido. Utilizando datos personales como nombres, direcciones, empleadores y otra información específica, los atacantes pueden crear correos electrónicos o mensajes que parecen legítimos y personalizados. Esto aumenta significativamente la probabilidad de que las víctimas caigan en la trampa, proporcionando más información sensible o descargando Malware.
Robo de Identidad
Con acceso a información personal detallada, los ciberdelincuentes pueden asumir la identidad de las víctimas para abrir cuentas bancarias, solicitar tarjetas de crédito o realizar compras en línea. El robo de identidad puede tener consecuencias devastadoras para las víctimas, incluyendo daños a su calificación crediticia y problemas legales.
Ingeniería Social
La ingeniería social implica manipular a las personas para que revelen información confidencial. Con datos detallados obtenidos de una filtración, los atacantes pueden hacerse pasar por colegas, amigos o familiares, solicitando información adicional o acceso a sistemas. Este tipo de estafa se basa en la confianza y la familiaridad, lo que lo hace especialmente peligroso.
Extorsión y Fraude
Los datos personales también pueden ser utilizados para extorsionar a las víctimas. Por ejemplo, si un atacante obtiene acceso a información comprometedora, puede amenazar con hacerla pública a menos que se pague un rescate. Además, los estafadores pueden utilizar datos financieros para realizar transacciones fraudulentas, vaciando cuentas bancarias o realizando compras no autorizadas.
Ataques a Empresas
Las empresas también son blanco de estafas personalizadas. Utilizando información filtrada sobre empleados, estructura organizativa y operaciones internas, los ciberdelincuentes pueden lanzar ataques dirigidos (personalizados), como el compromiso de correo electrónico empresarial (BEC), donde se hacen pasar por ejecutivos para autorizar transferencias de dinero fraudulentas.
¿Tiene sentido reclamar judicialmente a las empresas atacadas por los posibles daños sufridos por las personas cuyos datos han sido filtrados?
Uufff amigos, ¡con la ley hemos topado!, reclamar judicialmente a las empresas que han sufrido filtraciones de datos es un tema complejo que depende de diversos factores, desde las leyes y regulaciones locales, a las circunstancias específicas de la filtración y la capacidad de demostrar que la empresa fue negligente en la protección de los datos. Pero no olvidemos que “Las empresas tienen la responsabilidad legal de proteger los datos personales de sus clientes”.
Para reclamar judicialmente, generalmente es necesario demostrar que la empresa fue negligente en sus prácticas de seguridad. Esto puede incluir la falta de implementación de medidas de seguridad adecuadas, la ausencia de protocolos de respuesta a incidentes, o la falta de cumplimiento con las normativas de protección de datos. Si la filtración de datos fue el resultado de una negligencia clara, esto podría fortalecer el caso de la demanda.
Demandas exitosas contra empresas por filtraciones de datos
Pues sí, no solo es que tenga sentido, sino que existen precedentes que lo avalan.
La cadena hotelera Marriott se enfrentó a una demanda colectiva tras una filtración que expuso los datos de aproximadamente 500 millones de personas entre 2013 y 2014. Aunque no se mencionan detalles específicos del acuerdo, se destaca como una de las mayores brechas de seguridad y una de las más significativas en términos de la cantidad de personas afectadas.
En 2014, Home Depot sufrió una filtración que comprometió más de 50 millones de números de tarjetas de crédito y 53 millones de direcciones de correo electrónico. La compañía pagó múltiples acuerdos, incluyendo $19.5 millones a los consumidores afectados, $25 millones a instituciones financieras y $17.5 millones a 46 estados de EE. UU. y Washington D.C., sumando un total de aproximadamente $179 millones.
En 2017, Equifax acordó pagar hasta 700 millones de dólares para resolver las reclamaciones relacionadas con una masiva filtración de datos que afectó a aproximadamente 147 millones de personas.
La mayor compañía de seguros de Estados Unidos, Anthem, Inc., acordó pagar $115 millones en 2017 para resolver una demanda colectiva tras una filtración de datos que comprometió la información privada de 80 millones de clientes. Dichos datos incluían números de Seguridad Social e información bancaria.
En 2022, T-Mobile llegó a un acuerdo de $350 millones tras una filtración de datos que afectó a aproximadamente 77 millones de personas. Los datos comprometidos fueron puestos a la venta en un foro de ciberdelincuencia. Además del acuerdo, T-Mobile se comprometió a gastar $150 millones adicionales en seguridad de datos y tecnología relacionada.
La inversión en seguridad informática
La inversión en seguridad informática debe ser considerada una prioridad estratégica esencial para las empresas, no solo desde una perspectiva de cumplimiento normativo, sino también como una forma de proteger activos críticos, mantener la confianza de los clientes y asegurar la continuidad del negocio.
La cuestión ya no es si voy a sufrir o no un ciberataque, sino cuándo ocurrirá.