Una gran mayoría de las pymes españolas no están preocupadas por su ciberseguridad y no tienen un plan de acción profesional ante un posible ataque informático.

Pero los números son para tomárselo en serio. El año pasado un 30% de las pymes en España fue víctima algún tipo de ciberataque.

A pesar de estos datos tan solo uno de cada cinco responsables de IT asegura estar bien preparado para ese reto.

Sigue leyendo si quieres conocer cómo debes cumplir el RGPD al enviar correos electrónicos y un caso de ciberataque a través del correo electrónico.

Cómo cumplir el RGPD en los correos electrónicos

El correo electrónico es el medio más usado por las empresas para conseguir nuevos clientes y suscriptores. Para ello, a las personas que hayan aceptado recibir esa información, les envían emails comerciales.

Vamos a analizar cómo afecta la nueva normativa de Protección de datos a estos correos electrónicos.

Tanto el RGPD como la LOPDGDD regulan los requisitos que deben cumplirse para tratar datos personales a la hora de enviar comunicaciones comerciales. Uno de los requisitos principales es el consentimiento de los usuarios.

Antes de entrar en vigor el RGPD se admitía el consentimiento tácito. Esto suponía que al aceptar la política de privacidad el usuario aceptaba también el envío de esos correos comerciales. A partir del RGPD el consentimiento debe ser expreso, es decir, el usuario tiene que aceptar expresamente el envío de esos correos electrónicos.

Si conseguimos suscriptores o potenciales clientes a través de formularios en la página web, la nueva normativa también afecta a esos formularios. Se exige que los mismos incluyan una información determinada que debe presentarse en una doble capa.

Información en doble capa

La información que debemos proporcionar a los usuarios sobre el tratamiento de sus datos personales debe estructurarse en una doble capa.

En la primera capa debemos proporcionar información básica sobre:

  • Responsable del tratamiento
  • Fines para los que se recogen los datos y plazo de conservación de los mismos
  • Legitimación para recopilar esos datos
  • Terceros que van a tener acceso a esa información
  • Derechos de los usuarios

En una segunda capa de información debe proporcionarse una información más completa sobre los puntos anteriores.

Además, en los formularios debe incluirse un sistema para que el usuario pueda dar su consentimiento expreso al tratamiento de sus datos. Por ejemplo, un checkbox que el usuario deba marcar.

En resumen, hay tres requisitos que las empresas deben cumplir para adaptar el envío de correos comerciales al RGPD:

  • Obligación de informar a través de una doble capa
  • Obtener el consentimiento expreso de los usuarios
  • Renovar sus bases de datos solicitando a los suscriptores conseguidos de manera no acorde a la actual normativa que presten de nuevo su consentimiento expreso.

Por último, es importante que en los correos electrónicos que envíes incluyas una cláusula donde se indique una dirección donde los receptores del email puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación o portabilidad.

El caso de Seaphase

El caso de Seaphase, una startup de Oviedo que importa maquinaria extranjera para distribuirla en España.

Las operaciones tienen un elevado coste y el flujo de dinero entre bancos internacionales es abundante. Pero la empresa no disponía de un plan de ciberseguridad.

Hace unos meses les sucedió algo tan increíble como frecuente en la realidad.

Los directivos de la empresa llegaron a un acuerdo para la compra de una maquinaria compleja, de la que tenían que pagar por adelantado un total de 20.000 euros.

Quedó todo muy claro hasta que en el email de la oferta final, recibieron un correo con dos archivos adjuntos:

  • la oferta y
  • el documento con el número de cuenta.

Todo parecía normal, pero el crimen se había perpetrado semanas antes sin que los emprendedores lo supieran.

Una banda organizada de ciberdelincuentes interfirió en la conversación por correo electrónico entre los emprendedores y la empresa proveedora.

Los hackers descubrieron los emails y suplantaron la identidad del proveedor por medio de una dirección de email tan parecida a la que utiliza la compañía que era muy difícil de detectar.

Concretamente, consiguieron que los emails que remitía el proveedor no llegasen nunca a sus destinatarios. Los copiaban y los reenviaban desde otra cuenta de correo electrónico casi idéntica. Solo habían cambiado una “i” por una “l”.

Así, las víctimas de la estafa se mensajeaban con los hackers creyendo que se comunicaban con su proveedor, ya que era el flujo de comunicación habitual.

¿Cómo se solucionó?

El desenlace fue simple.

Los ciberdelincuentes sustituyeron el PDF original por otro con sus propias credenciales, con el número de cuenta correcto al que los emprendedores debían enviar los 20.000€.

Una vez hicieron la transferencia, los hackers se apresuraron a sacar el dinero con una identidad falsa creada previamente.

Una semana después, ni las víctimas no habían recibido ninguna respuesta por parte del proveedor, ni siquiera un acuse de recibo del pago.

Ni el proveedor había recibido los fondos, aunque había recibido los emails en los que se detallaban los tiempos de pago.

Pasaron varios días en shock hasta que se pusieron a trabajar de común acuerdo con el proveedor. Les dejaron el equipo a la mitad de precio, asumiendo ellos la responsabilidad de recuperar ese dinero.

¿Qué hacer en caso de scam?

Debemos ser conscientes de que los ciberdelincuentes están verdaderamente informados y son capaces de interceptar comunicaciones privadas. Para ello es clave contar con medidas de seguridad que velen por la seguridad de las comunicaciones de las pymes y tener previsto un plan para evitar ataques y para solucionarlos una vez se han producido.

Por último, hay que convertir en un hábito el hecho de realizar las transferencias a nombre del destinatario de una empresa y pactar con el banco un protocolo de pagos seguros.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.