ABC
Ciberseguridad

¿Cómo puedo saber si mis datos personales han sido sustraídos de una empresa por ciberdelincuentes?

El robo de información por culpa de una brecha de seguridad será uno de los mayores temores del tejido empresarial en 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD)

MadridActualizado:

La información personal de los usuarios es la llave maestra hacia un botín mayor: bancos, teléfono o un nueva identidad. Todo está registrado y guardado en las bases de datos de las empresas. En este sentido, las compañía se enfrentan a una difícil batalla: reconocer que los datos de miles de clientes han sido sustraídos por cibercriminales no debe ser fácil cuando se corre el riesgo de perder la absoluta credibilidad como marca. Sin embargo, la situación a día de hoy no es tan peliaguda como podrá ser en un futuro.

Hasta la fecha, los clientes a título particular no podían comprobar si su correo electrónico junto a otro tipo de datos formaba parte del botín de los ciberdelincuentes, a pesar de que algunas empresas hubieran reconocido un robo masivo de datos debido a una brecha de seguridad ya resuelta.

Por lo menos, no parecía posible en España hasta la próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) que será de obligado cumplimiento el próximo año. Troy Hunt, director regional de Microsoft en Australia, harto de los múltiples descuidos de los servicios de internet, se ha adelantado con un proyecto particular para que los usuarios puedan comprobar si algunos de sus emails están entre los grandes robos masivos conocidos hasta la fecha.

«Have I been pwned?» es un portal que comprueba el email que le indiques con una base de datos que recopila todos los correos electrónicos sustraídos en grandes robos, fruto de una brecha de seguridad, como la que tuvo lugar en LinkedIn en 2016 o en tumblr en 2013. Su continua exacerbación por lo que considera «la mayor brecha que ha puesto las cuentas de los clientes: Adobe» le llevó a trabajar en esta idea, como así lo narra en su página.

«Con frecuencia realizaba análisis de las credenciales de los usuarios tras las brechas de seguridad y seguía encontrando las mismas cuentas expuestas una y otra vez. A menudo, con las mismas contraseñas que ponían las víctimas en otras cuentas, exponiéndose a un mayor riesgo», argumenta además sobre el peligro que esos datos pueden ser puertas de entrada a otros servicios en los que los usuarios estén registrados.

Cómo denunciarlo

Una vez que el usuario corrobore si es una de las víctimas de ese robo de datos, por culpa de una brecha seguridad, la pregunta que sobreviene a continuación es, ¿tengo derecho a denunciar a la empresa por ese fallo? Pablo F. Burgueño, abogado especializado en derecho Tecnológico y fundador de NevTrace, señala a ABC que «si una empresa ha sufrido una brecha de seguridad supone que ha omitido su deber de secreto» y por tanto está «cometiendo una infracción grave».

Si el usuario quiere iniciar un proceso por la vía legal puede «pedir a la Agencia Española de Protección de Datos (AGPD) que abra un procedimiento de inspección» para investigar desde dentro o fuera de la empresa. Sin embargo, solo las empresas españolas están actualmente obligadas a facilitar la información que exija la institución como también solo pueden ser multadas las empresas nacionales, a pesar de que el regulador pueda investigar en cualquier parte del mundo.

No obstante, «puedes ir contra Yahoo como particular, aunque la agencia no pueda multar. Si puedes probar que se te ha ocasionado un daño mediante un peritaje, puedes ir contra la empresa. En ese caso, no importa en qué parte del mundo se encuentre», se le puede demandar y exigir una indemnización por daños, como explica Burgueño.

Reglamento General de Protección de Datos

La desprotección de los usuarios ante empresas extranjeras con servicios globales va a cambiar en 2018. La entrada en vigor de las normativas europeas implica la obligación de «localizar a la persona» a la que se le han sustraído los datos y en el caso de que no sea posible se debe contratar un espacio en un medio de comunicación dirigiéndote como empresa a los clientes.

Por otro lado, los usuarios podrán pedir una indemnización si no se les ha alertado y se les impondrá una multa a las compañías de «diez millones de euros o hasta el 2% del negocio global del año financiero anterior de esa empresa» por no haberlo comunicado, apunta el fundador de NevTrace. La sanción financiera elegida será siempre la más alta.