I. ¿QUÉ ES UNA BRECHA DE SEGURIDAD DE DATOS PERSONALES?

Para saber actuar ante una brecha de seguridad, lo primero es saber qué es y ser capaz de detectarlas e identificarlas.

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

II. ¿QUÉ HACER?

ANTES: el responsable de tratamiento debe estar preparado para esta posibilidad, debe establecer quién y qué acciones se ejecutarán en caso de producirse. Para ello, lo primero es ser consciente de qué datos personales se están tratando, con qué medios y los riesgos que puede haber. Así, una parte muy importante es implementar mecanismos que permitan detectar las brechas de seguridad de datos de carácter personal.

SI SUCEDE: el responsable de tratamiento debe poner en marcha el plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.

Además, cuando se sufre una brecha de seguridad se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán para cumplir los objetivos anteriores y para valorar la necesidad de notificar a la autoridad de control y afectados.

• Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido: se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, un ransomware ha cifrado un dispositivo, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc.
• Origen de la brecha, si ha sido interna o externa y su intencionalidad.
• Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como puedan ser datos de salud.
• Volumen de datos afectados, tanto en número de registros afectados como en número de personas afectadas.
• Categorías de afectados: clientes, empleados, estudiantes, abonados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
• Información temporal de la brecha: cuándo se inició, cuándo se ha detectado y cuándo se resolvió o resolverá la brecha de seguridad.

III. NOTIFICACIÓN A LA AEPD Y COMUNICACIÓN A LOS AFECTADOS

Ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad. Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar.

Para realizar esta valoración correctamente es de suma importancia tener el registro de actividades de tratamiento y el análisis de riesgo previamente elaborado y actualizado.

Si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la Sede electrónica.

En cualquier caso, en la línea de proactividad y transparencia que marca el RGPD siempre es recomendable notificar ante la AEPD una brecha de seguridad en los datos personales que sufra un responsable del tratamiento.

Para rellenar el formulario es muy útil tener de antemano clara la información relevante para la brecha que se ha destacado anteriormente.

Si además entraña un alto riesgo deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.

En el caso que la brecha la sufra un encargado del tratamiento, este debe informar al responsable del tratamiento, que tendrá que valorar si notifica ante la AEPD y comunicar a los afectados. En todo caso, los detalles sobre las responsabilidades de responsable y encargado ante una brecha de seguridad deben quedar expresamente detalladas en el contratomediante el cual se establece el encargo del tratamiento.

Independientemente de si se ha notificado a la AEPD o no, o si se ha informado a los afectados, debemos llevar un registro de las brechas de seguridad que suframos, en el que se justifique las decisiones que se han tomado. Este documento puede ser exigible en cualquier momento por parte de la AEPD.

IV. CONCLUSIONES

Con el marco establecido por el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 se promueve una cultura para la gestión diligente de los datos personales por parte de los encargados y responsables del tratamiento. Por un lado, esta nueva cultura de tratamiento de brechas de seguridad debe permitir minimizar el impacto sobre los afectados, estableciendo mecanismos para que puedan ser conscientes y puedan tomar medidas. Por otro lado, tan importante como solucionar una brecha de seguridad y minimizar las consecuencias sobre los afectados, es aprender de ella, y determinar qué ha fallado en los procedimientos de gestión de la información. Para ello, forma parte del principio de responsabilidad proactiva documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.

Para ampliar información sobre cómo actuar ante una brecha de seguridad y qué aspectos deben estar planificados con anterioridad, puedes consultar nuestra Guía para la gestión y notificación de brechas de seguridad.

Desde la Agencia Española de Protección de Datos queremos concienciar sobre la necesidad de tomar medidas técnicas y organizativas para evitar que se produzcan brechas de seguridad. Este fomento de la concienciación se realiza en el marco del principio de responsabilidad activa de Reglamento General de Protección de Datos, especialmente en el caso de usuarios particulares y pymes que con frecuencia suelen disponer de menos recursos para dedicar a estas cuestiones.

Aún así, a pesar de aplicar las medias de seguridad oportunas, las brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar preparadas para ser capaces de detectarlas y actuar para minimizar y evitar el daño a los derechos y libertades de las personas. Con este objetivo la AEPD publicó la Guía para la Gestión y Notificación de Brechas de Seguridad.

Una de las medidas en las que se materializa el principio de responsabilidad activa del RGPD es en la obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la quiebra suponga un riesgo para los derechos y libertades de los afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.

Además, en los casos en que sea probable un alto riesgo para los derechos o libertades de los afectados, también se les deberá comunicar la brecha a estos. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias.

Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.

Un 10% de las notificaciones de brechas de seguridad recibidas en la AEPD durante 2018 desde el 25 de mayo de 2018 (fecha de aplicación del RGPD) indican que el motivo de la brecha es el cifrado de equipos mediante algún tipo de ransomware, y en ocasiones el vector de ataque es el acceso mediante servicios de escritorio remoto.

Por eso, queremos mostrar el caso concreto de uno de los tipos de brecha de seguridad que se ha notificado a la AEPD con especial incidencia en el sector privado y dar recomendaciones para reducir el riesgo de sufrir una brecha de este tipo.

Es habitual que usuarios de pymes y grandes empresas necesiten tener acceso desde internet a un servidor o cualquier otro equipo de su red para ejecutar determinadas aplicaciones, realizar tareas de mantenimiento o de soporte. A veces, también necesitan proporcionar acceso a otras organizaciones que les prestan un servicio determinado.

Desde Windows NT 4.0, Microsoft incorpora el protocolo de escritorio remoto (Remote Desktop Protocol – RDP) que proporciona acceso remoto a la interfaz gráfica del equipo y permite resolver la necesidad anteriormente descrita. Es un servicio habitualmente usado en servidores que tienen instalado el sistema operativo Windows, aunque también se utiliza en otros sistemas operativos, para evitar tener que desplazarse físicamente donde se encuentra el equipo.

Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP. 

Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.

En un entorno controlado de pruebas en el que se simulen las condiciones anteriormente descritas, se puede comprobar que en menos de una hora la exposición del servicio es detectada y se realizan cientos de ataques por fuerza bruta.

La forma  en la que se produce este ataque es tradicionalmente mediante phishing, en el que a través del envío de un correo suplantando al emisor se remite un malware como fichero adjunto que acabará cifrando los archivos del equipo.En los últimos años han cobrado una especial importancia los ataques de tipo ransomware en los que se busca cifrar información para posteriormente solicitar un rescate por la contraseña de descifrado. Aunque parezca una actividad en descenso, sigue siendo una gran amenaza a tener en cuenta especialmente en el caso de las pymes, uno de sus grandes objetivos.

Pero en la actualidad también se utilizan otras técnicas, como por ejemplo algunos ransomware como Crysis/Dharma o Matrix cuyo vector de entrada es precisamente el protocolo de escritorio remoto. Utilizando buscadores como SHODAN, encuentran equipos accesibles que tengan contraseñas débiles y usuarios por defecto habilitados como “invitado”, “backup”, etc. Una vez acceden al equipo proceden a deshabilitar sistemas de protección como instantáneas de volumen o puntos de restauración y cifran toda la información del sistema pidiendo un rescate para entregar la contraseña de descifrado.

Cuando se sufre un ataque de este tipo se suele pensar únicamente en que se ha sufrido una brecha de disponibilidad hasta que se consigue recuperar la información, habitualmente desde las copias de respaldo, si se dispone de ellas. Pero no siempre se tiene en cuenta que han sido comprometidos diferentes cuentas de usuario que pueden pertenecer a un dominio, que se ha podido acceder a otros equipos de la organización y conseguir credenciales diferentes a las del servidor afectado, además se desconoce si el malware ha podido enviar alguna información almacenada en nuestros sistemas hacia el exterior.

La primera medida preventiva a llevar a cabo para evitar estos ataques es no exponer los servicios de escritorio remoto directamente a internet mediante la redirección de puertos, al considerarse una práctica insegura.

Sería recomendable establecer al menos un servicio como Remote Desktop Gateway, o mejor aún implementar un sistema de red privada virtual (Virtual Private Network – VPN) en la que se consoliden los accesos desde el exterior. De esta manera tendremos un único sistema expuesto que es el que deberemos vigilar con mayor diligencia. Además, no debemos olvidar recomendaciones básicas como deshabilitar cuentas de usuario innecesarias o credenciales simples, tener los sistemas actualizados e implementar sistemas de doble autenticación.

Como medida correctiva, disponer de copias de seguridad de los datos es la medida más eficaz.

Para mayor información sobre medidas preventivas y cómo actuar ante un ransomware que haya cifrado tus dispositivos, desde la Agencia Española de Protección de Datos te recomendamos consultar la guía sobre Ransomware publicada por INCIBE, el informe de buenas prácticas  del CCN-CERT y las recomendaciones de medidas de seguridad ante ransomware también del CCN-CERT .

Otros enlaces de interés:

2018 Data Breach Investigations Report – Verizon

Ransomware: an enterprise perspective – ESET

El ‘ransomware’, otra gran amenaza para las pymes – Expansión

Matrix: A low-key tageted ransomware – Sophos

Con la llegada de las vacaciones de verano cambiamos muchas de nuestras rutinas, viajamos, salimos más, visitamos lugares nuevos y disfrutamos de nuestro tiempo libre junto a familiares y amigos. En esta entrega de nuestro blog os presentamos algunos consejos sobre cómo afrontar situaciones de riesgo para la protección de nuestros datos personales en época estival.

Piensa dos veces antes de compartir una foto o vídeo

La actividad estival hace que la cámara de nuestro teléfono móvil tenga más trabajo del habitual: detalles de los lugares que hemos visitado, gente con la que hemos estado, fiestas a las que hemos asistido, etc. Compartir parte de esas fotografías (o todas) en una red social es algo habitual para algunas personas y entraña algunos riesgos.

Según datos del Centro de Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social. Te recomendamos que pienses en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas. La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en  los que explica cómo accceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador.

Una vez que tu perfil ya no sea accesible para los buscadores, piensa también en que las personas a las que das acceso a tu información eligen a su vez quien puede tener acceso a su perfil: amigos, amigos de amigos o todo el mundo. Si compartes una foto con tus seguidores o amigos en una red social y uno de ellos indica que algo le gusta, un amigo de amigo, al que no tienes por qué conocer, puede terminar viendo esa imagen. Y es posible que haya situaciones que quizás no quieres compartir con desconocidos.

Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social. Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores.

Evita decir dónde estás

Compartir en Internet fotografías de tus viajes o tu geolocalización a través de una aplicación puede dar información a los delincuentes para saber cuándo no estás en casa. Ten cuidado también con compartir imágenes de tus billetes o tarjetas de embarque, ya que sus códigos pueden ser utilizados para acceder a tus datos personales y conocer el destino y fechas de tu viaje.

Desconfía de las WiFis abiertas y ordenadores compartidos

En verano pasamos mucho tiempo lejos de la WiFi de nuestra casa o del trabajo. Esto hace que consumamos los datos contratados rápidamente y andemos a la caza de WiFi gratuito. Las redes abiertas en ocasiones pueden ser utilizadas por ciberdelincuentes para robarte tus datos personales y contraseñas. Si las utilizas, no introduzcas tus contraseñas, no intercambies información sensible, no te conectes a tu servicio de banca, y no compres por Internet con ellas.

Del mismo modo, cuando estamos de viaje, pueden surgir situaciones en las que nos vemos obligados a hacer un trámite y conectarnos desde un ordenador público de un hotel o un locutorio. En estos casos te recomendamos utilizar la opción de navegación privada del navegador, no guardar tus contraseñas en el dispositivo compartido y, después de utilizarlo, cerrar todas las sesiones que hayas abierto (correo electrónico, webs, chats, etcétera).

Adelántate al robo o pérdida de tus dispositivos

 Cuando viajas o realizas actividades veraniegas como ir a la piscina, la playa o visitar lugares turísticos, aumentan los riesgos de perder o que nos roben nuestro móvil o tableta. No solemos ser conscientes de la cantidad de datos e información personal que contienen. Te recomendamos que hagas una copia de seguridad de la información que almacenas y no olvides añadir un sistema de clave o patrón para bloquear los dispositivos.

Aquí encontrarás más información sobre cómo poner en práctica todos estos consejos y en nuestro Youtube puedes ver vídeos tutoriales para configurar la privacidad de tus cuentas en redes sociales.

Ante todo, disfruta de las vacaciones

Por último, si te pasas el día pegado a tu teléfono móvil, en Internet y compartiendo todo lo que haces en tus redes sociales, te perderás muchas cosas buenas de tus vacaciones. Si puedes, desconecta, mira a tu alrededor, comparte tiempo con tus seres queridos y disfruta de las vacaciones.