¡Pide presupuesto en 2 min! ✓
CiberseguridadLOPDGDD & RGPD

Brechas de seguridad: Qué son y cómo gestionarlas

16 Mins read

Es muy habitual que un virus nos ataque el ordenador y normalmente, es algo que se suele solucionar sin mayor problema. ¿Pero, y si ese virus te supone una pérdida de información de tus clientes y no sabes a dónde van a parar esos datos? En ese caso habrás sufrido una brecha de seguridad que, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), es obligatorio notificar tanto a los interesados como a la Agencia Española de Protección de Datos (AEPD). En esta entrada vamos a explicar qué son exactamente las brechas de seguridad y cómo se deben gestionar.

En este artículo hablamos de:

¿Qué es una brecha de seguridad?

De acuerdo a la propia AEPD, una brecha de seguridad es «un incidente de seguridad que afecta a datos de carácter personal», independientemente de si es la consecuencia de un accidente o de una acción intencionada y tanto si afecta a datos digitales o en formato papel. Además, estas brechas de seguridad provocan la «destrucción, pérdida, alteración, comunicación o acceso no autorizada de datos personales».

Por su parte, los Considerados del RPGD también nos ofrecen una definición de brecha de seguridad, entendida esta como «toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos».

Es decir, que tanto para el RGPD como para la AEPD las brechas de seguridad son una violación de la seguridad, voluntaria o accidental, que conlleva como consecuencia la pérdida, destrucción o manipulación de los datos personales almacenados en el soporte atacado.

Las formas en las que se pueden producir estas brechas de seguridad son numerosas, especialmente en el entorno digital y van desde una modificación no autorizada de la base de datos, la destrucción de copias de seguridad, hasta ciberataques de diferentes tipos cuyo objetivo sea acceder a los datos personales almacenados.

Brecha de seguridad

Normativa que regula las brechas de seguridad

Podemos encontrar la normativa que regula la gestión de las brechas de seguridad informática recogida en diferentes leyes y reglamentos, tanto nacionales como europeos, que con el paso de los años y la evolución de la tecnología y, especialmente, el avance de la digitalización, han ido modificándose y adaptándose a las necesidades actuales en materia de protección de datos.

Debemos entender que estas normas hacen responsables a las empresas de la seguridad de datos personales que manejen y/o almacenen y que no contar con las medidas adecuadas para prevenir y evitar posibles brechas de seguridad puede conllevar denuncias de protección de datos y sanciones administrativas.

RGPD

Ya hemos visto más arriba la definición que hace el RGPD de brechas de seguridad, pero  el reglamento europeo introdujo una de las novedades que fue necesario incorporar a las legislaciones nacionales en materia de protección de datos. Concretamente, estableció la obligación de informar tanto a interesados como a autoridades competentes cuando se haya producido una brecha de seguridad que ponga en riesgo datos de carácter personal.

Artículos 33 y 34

Este deber de notificación de las brechas de seguridad aparece en los artículos 33 y 34 del RGPD.

En concreto, estos artículos nos dicen que las organizaciones, tanto privadas como públicas, que actúen como responsables de tratamiento tienen la obligación de notificar a la Autoridad de Control (en España la AEPD) de las brechas de seguridad que puedan causar daños y perjuicios sobre las personas y, en caso de daños graves, comunicarlo también a las personas cuyos datos se hayan visto comprometidos para que puedan tomar sus propias medidas de seguridad.

Además, se establece un plazo máximo de 72 horas para informar a la Autoridad de Control desde que se tuvo noticia de la brecha.

LOPDGDD

Aunque la Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales no recoge explícitamente la obligación de notificar las brechas de seguridad a la AEPD, puesto que ya queda recogido en el RGPD, sí que establece el incumplimiento de dicha obligación como una infracción muy grave en su artículo 72.

LGT

Por su parte, la Ley General de Telecomunicaciones en su artículo 41 establece la obligación de informar sobre las brechas de seguridad que puedan comprometer datos personales a los operadores de servicios de comunicaciones electrónicas disponibles al público.

Tipos de brechas de seguridad

Aunque podemos hablar de diferentes formas de provocar una brecha de seguridad, lo cierto es que a la hora de clasificarlas, existen tres tipos concretos en función de los objetivos o consecuencias de las mismas.

Brecha de confidencialidad

La brecha de confidencialidad se produce cuando ocurre un acceso no autorizado o con un propósito no legítimo a la plataforma de almacenamiento de datos o cualquier parte de la misma que pueda dejar expuestos datos personales.

Brecha de integridad

La brecha de integridad hace referencia a las manipulaciones o alteraciones de la información original almacenada en el sistema, produciéndose una sustitución de datos que podría suponer alguna clase de perjuicio.

Brecha de disponibilidad

La brecha de disponibilidad hace referencia a aquellos ataques con provocan la pérdida de acceso a los datos originales, ya sea de manera temporal o de forma permanente.

¿Cómo gestionar una brecha de seguridad? Pasos a seguir

Si se da el caso de que vuestra empresa sufre una brecha de seguridad, estos son los pasos que deberéis seguir para gestionarla adecuadamente y de acuerdo a las exigencias de la normativa de resolución de incidencias.

Gestionar una brecha de seguridad

Pasos para gestionar una brecha de seguridad

Registro interno de la incidencia detectada

El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.

Una vez resuelta la brecha se deberá también registrar la solución al problema.

Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.

Sistemas, datos y equipos afectados

También se deben registrar los sistemas, datos y equipos que se hayan podido ver afectados por la brecha de seguridad, especialmente si alguno de ellos ha sido usado para materializar el ataque. Por ejemplo, si se ha perdido un equipo portátil con acceso a datos personales o se ha producido un robo del mismo. O si a ha afectado solo a un equipo o a toda la red interna de la compañía.

El origen de la brecha

Es necesario identificar el origen de la brecha de seguridad, es decir, si el ataque se ha producido desde el exterior o, por el contrario, ha venido desde entro. Además, también se debe determinar cuál ha sido su intencionalidad u objetivo.

Solución al problema

También informaros de la solución adoptada para frenar el ataque, si ha funcionado, así como otras medidas implementadas para proteger zonas que no se hayan llegado a ver expuestas al ataque.

Valorar el alcance de la violación

A la hora de determinar si debemos notificar una brecha de seguridad, tendremos valorar el alcance de la misma, es decir, qué categorías de datos personales e información se han podido ver afectadas por el ataque, puesto que en función de esto existirá o no la obligación de informar a la AEPD.

Para determinarlo, podemos recurrir a hacernos las siguientes preguntas:

¿Supone un riesgo para los derechos y libertades de los afectados?

El RGPD da una especial importancia a aquellos datos personales cuyo manejo puede suponer un riesgo para los derechos y libertades de los afectados. Por lo tanto, debemos determinar si la brecha afecta a estas categorías de datos:

  • Etnia o raza.
  • Opinión política.
  • Convicciones religiosas o filosóficas.
  • Afiliación sindical.
  • Datos genéticos.
  • Datos biométricos que puedan identificar inequívocamente a una persona.
  • Datos relativos a la salud.
  • Datos relativos a la vida sexual o la orientación sexual.

¿Provoca daños y perjuicios físicos, materiales o inmateriales?

¿Qué tipo de datos pueden provocar daños y perjuicios físicos, materiales o inmateriales? El considerando 75 del RGPD recoge los siguientes:

  • Problemas de discriminación
  • Usurpación de identidad o fraude
  • Pérdidas financieras
  • Daño para la reputación
  • Pérdida de confidencialidad de datos sujetos al secreto profesional
  • Reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo

¿Puede privar a los interesados de sus derechos y libertades o se les impide ejercer el control sobre sus datos personales?

De nuevo, encontramos la respuesta a qué tipos de datos hace referencia en el considerando 75 del RGPD y en concreto son las mismas categorías especiales de datos que ya hemos citado más arriba, a la que se suman los datos relativos a las condenas e infracciones penales o medidas de seguridad conexas y cuando se traten datos personales de personas vulnerables, en particular niños.

Notificación de la brecha de seguridad a la autoridad de control

Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la AEPD, para lo cual deberemos cumplimentar un formulario de notificación de brechas de seguridad.

Contenido mínimo de la notificación

La notificación ha de incluir un contenido mínimo:

  • La naturaleza de la violación, categorías de datos y de interesados afectados.
  • Medidas impuestas por el responsable para resolver esa quiebra.
  • Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

Plazo máximo para su notificación

El plazo máximo para notificar a la AEPD de una brecha de seguridad es, como ya vimos más arriba, de 72 horas. Este plazo comienza a computar desde el momento en que tenemos constancia del problema de seguridad.

Registro Electrónico

Las brechas de seguridad se pueden notificar de forma telemática gracias el Registro Electrónico con el que cuenta la AEPD y cuyos pasos a seguir son muy sencillos, cumplimentado el formulario online. Eso sí, para poder hacerlo de esta manera, es necesario contar con certificado electrónico.

Excepciones

No obstante, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado de datos.
  • Cuando el responsable haya tomado con posterioridad a la brecha medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.

¿Quién es el encargado de notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del responsable del Tratamiento.

Sanciones por no realizar la notificación en tiempo y forma

No cumplir con la obligación de notificar en tiempo y formar de una brecha de seguridad se considera, como decíamos, una infracción muy grave y por tanto puede suponer la imposición de sanciones en forma de multa administrativa.

Esta multa puede ser de hasta 10 millones de euros o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Optándose siempre por la mayor cuantía de las dos.

Seguimiento y cierre

Una vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:

  • Contratación de un experto en informática forense.
  • Adoptar medidas procesales.
  • Realizar un informe final sobre la brecha de seguridad.
  • Realizar un informe sobre cómo se va a producir el cierre de la brecha de seguridad.

Análisis de forense digital experto

Un perito informático, tras el estudio y análisis del incidente de seguridad, elaborará un informe en el que se plasmarán todos los hechos y medidas tomadas. Este informe tendrá importancia tanto administrativa como judicial (si se da el caso).

Adoptar medidas procesales

Estas medidas nos sirvan para determinar el autor o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).

Informe final

Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.

Cierre de la brecha de seguridad

Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad, dejando el mismo, registrado.

Proceso de respuesta en el caso de brecha de seguridad confirmada

La mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un equipo de respuesta a incidentes dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.

Durante el proceso de respuesta se distinguen una serie de fases:

  • Contener el incidente.
  • Erradicar la situación generada por el incidente.
  • Acciones de recuperación oportunas.
  • Redacción de un informe de resolución.

Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.

Contención del incidente

La contención del incidente proporciona tiempo para desarrollar una estrategia de respuesta a medida.

Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.

Es una buena práctica que las empresas desarrollen políticas de actuación para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.

Erradicación

Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas.

Tras la aplicación de las medidas se debe verificar el correcto funcionamiento de éstas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase.

Se deberán de tomar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido será necesario alimentar el plan de riesgos de la entidad afectada revisando si el mapa de riesgos contemplaba la amenaza que ha dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.

Restablecimiento del servicio

Esta fase tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.

Deben aplicarse acciones y controles como:

  • Selección estrategia. Teniendo en cuenta el riesgo que quiera asumir la entidad así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.
  • Implementación de medidas preventivas.

Informe de resolución

Finalmente, se elaborará un informe de la resolución del incidente de seguridad y cómo se ha actuado para frenarlo y solucionarlo. Este informe deberá tenerse en cuenta para revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares.

¿Cómo prevenir brechas de seguridad?

Aunque los tipos de ciberataques son bastante variados, hay una serie de medidas de seguridad que podemos tomar para prevenir que se produzcan brechas de seguridad en los sistemas informáticos de la empresa.

Utilizando contraseñas seguras

A la gente le gusta usar contraseñas fáciles de recordar; sin políticas y tecnología para hacer cumplir la selección de contraseñas adecuadas, las organizaciones corren el riesgo de tener contraseñas como «1234» como la única línea de defensa contra el acceso no autorizado a información confidencial. Ver nuestro post: ¿Cómo crear una contraseña segura?

Por lo tanto, elabora políticas adecuadas e implementa tecnología para garantizar que las políticas se apliquen adecuadamente y que tus empleados utilizan contraseñas robustas y complejas.

Con la doble autentificación

La doble autentificación o la verificación en dos pasos no es un método infalible al 100%, pero sí que pondrá las cosas más difíciles a un hacker. Por ello es interesante considerar su implementación para acceder a información especialmente confidencial.

Haciendo copias de seguridad

El propósito de la copia de seguridad es crear una copia de datos que se pueda recuperar en caso de un fallo de hardware o software, corrupción de datos o un evento causado por humanos, como un ataque malicioso (virus o malware) o la eliminación accidental de datos. Las copias de respaldo permiten restaurar los datos desde un punto anterior para ayudar a la empresa a recuperarse de un evento no planificado.

Almacenar la copia de los datos en un medio separado es fundamental para proteger contra la pérdida o corrupción de datos. Este medio adicional puede ser tan simple como una unidad externa o una memoria USB, o algo más sustancial, como un sistema de almacenamiento en disco, un contenedor de almacenamiento en la nube o una unidad de cinta.

Actualizando todos los sistemas

Las actualizaciones del sistema son críticas para el desempeño del negocio. Una actualización del sistema generalmente implica agregar nuevo hardware o actualizar software para aumentar la funcionalidad de un sistema. Sin embargo, las actualizaciones del sistema también tienen muchos beneficios menos conocidos, como un aumento en la vida útil y una mejor eficiencia de los equipos informáticos.

Aquí hay otras cinco razones por las que deberías molestarte en actualizar tus sistemas:

  • Mayor productividad de los empleados.
  • El crecimiento del negocio.
  • Mejor soporte de TI.
  • Seguridad del sistema mejorada.
  • Garantía extendida.

Con el cifrado de dispositivos

Hay muchas herramientas comerciales y gratuitas disponibles para hacer esto; algunos sistemas operativos incluso tienen capacidades de cifrado incorporadas. Como probablemente sospechas, si no estás seguro de si algo debe cifrarse, cífralo.

Vulnerabilidades habituales

Como ya hemos ido mencionando en diferentes puntos de esta entrada, existen muchas formas de crear una brecha de seguridad, en función del propósito del ataque y los objetivos que se quieran alcanzar. A continuación tenemos algunos de los más importantes y habituales.

Día cero

La conocida como «vulnerabilidad de día cero» o «ataques día cero» es un fallo de seguridad de software que el proveedor de software conoce pero que no tiene un parche para solucionar el fallo. Tiene el potencial de ser explotado por los cibercriminales.

Ataque dirigido

Un ataque dirigido se refiere a un tipo de amenaza en la cual los actores de la amenaza persiguen activamente y comprometen la infraestructura de una entidad objetivo mientras mantienen el anonimato. Los ataques dirigidos a menudo emplean métodos similares que se encuentran en las amenazas tradicionales en línea, como correos electrónicos maliciosos, sitios comprometidos o maliciosos, exploits y malware.

Ataque DNS o de denegación de servicio

Un ataque DNS es cualquier ataque dirigido a la disponibilidad o estabilidad del servicio DNS de una red. Estos ataques se centran en atacar la infraestructura DNS en sí, ya sea haciendo que el servicio DNS no esté disponible o subvirtiendo las respuestas proporcionadas por los servidores DNS.

Acceso a cuentas

Existen vulnerabilidades de control de acceso interrumpidas cuando un usuario puede acceder a algún recurso o realizar alguna acción a la que se supone que no puede acceder. Si un usuario puede obtener acceso a la funcionalidad a la que no se le permite acceder, es escalada de privilegios verticales.

Aquí también podemos hablar de los ataques de fuerza bruta para romper la contraseña del usuario y acceder a su cuenta o servidor.

Código malicioso

Malware y virus es el nombre colectivo de varias variantes de software malicioso, incluidos ransomware y spyware. Abreviatura de software malicioso, el malware generalmente consiste en código desarrollado por ciberatacantes, diseñado para causar daños importantes a los datos y sistemas o para obtener acceso no autorizado a una red.

Robo de datos

El robo de datos informáticos es el acto de robar información digital almacenada en ordenadores, servidores o dispositivos electrónicos de una víctima desconocida con la intención de comprometer la privacidad u obtener información confidencial.

Defacement

En el ataque de defacement o desfiguración del sitio web, el pirata informático cambia la página de índice del sitio web o, a veces, opuesta al texto del sitio web. El hacker realiza este tipo de ataque para mostrar la seguridad del sitio web al propietario del sitio web. El hacker también usa este ataque para burlarse de la seguridad del sitio web.

Vulnerabilidad en aplicaciones

Una vulnerabilidad de la aplicación es un fallo o debilidad del sistema en una aplicación que podría explotarse para comprometer la seguridad de la aplicación. Una vez que un atacante ha encontrado un fallo o vulnerabilidad de la aplicación, y ha determinado cómo acceder a ella, tiene el potencial de explotar la vulnerabilidad de la aplicación para facilitar un delito cibernético.

Ingeniería social

El ataque de Ingeniería Social engaña a la víctima para que realice una acción que normalmente no realizaría o revela información que normalmente no compartiría. Hay una amplia gama de técnicas está involucrada en este tipo de ataque (phising, shoulder sniffing, whaling, etc.).

Preguntas frecuentes

Si bien en los apartados anteriores se ha intentado hacer una exposición clara y concisa de las brechas de seguridad y su notificación, a nuestros clientes siempre les surgen dudas, por lo que continuación hemos hecho acopio de las mismas, a si que esto te interesa.

¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?

Como el 99,9% de las entidades, contratamos con un encargado de tratamiento de datos personales, como puede ser una gestoría o la empresa de informática.

Estos tienen acceso a parte de los datos de los que somos responsables, y también pueden sufrir una brecha de seguridad.

Si eso pasa, deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.

Para que no se le «olvide» al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.

¿Puedo usar la misma notificación para la AEPD y para el interesado?

No. La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.

A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.

¿Tengo que notificar siempre la brecha de seguridad?

Sí y no. No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. Los casos que recoge la guía donde no habría obligación de comunicar estas brechas se describen a continuación.

  • Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad.
  • Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección —tras la producción de la brecha de seguridad— con la intención de causar el mínimo daño posible a los afectados.
  • Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

Esperamos que con este breves palabras te haya quedado más claro lo que es una brecha de seguridad y como gestionar su notificación.

Puedes completar esta información con la Guía para la gestión y notificación de brechas de seguridad de la AEPD.

No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el Tlf 91 489 64 19, y uno de nuestros abogados estará encantado de atenderte.

Related posts
LOPDGDD & RGPD

¿Qué tipos de cookies existen y para qué sirven?

14 Mins read
Las cookies pueden ayudar a proporcionar una experiencia de usuario única y personalizada. Pero, ¿cuáles son los diferentes tipos de cookies? ¿Para…
LOPDGDD & RGPD

Derecho a la limitación del tratamiento. ¿En qué consiste?

7 Mins read
El derecho a la limitación del tratamiento es uno de los derechos exigidos por el Reglamento General de Protección de Datos de…
Ciberseguridad

¿Qué es el flaming en Internet?

8 Mins read
Dentro de la investigación del comportamiento en Internet, existen múltiples formas de acoso en la red. Dentro de estos tipos de acoso…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.