[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/","headline":"Brechas de seguridad \u00bfqu\u00e9 son y c\u00f3mo actuar ante ellas?","name":"Brechas de seguridad \u00bfqu\u00e9 son y c\u00f3mo actuar ante ellas?","description":"Gu\u00eda paso a paso sobre las brechas de seguridad, definici\u00f3n, qu\u00e9 hacer si sufres una en tu empresa y c\u00f3mo notificarlas a la AEPD \u00a1Descubre m\u00e1s aqu\u00ed!","datePublished":"2020-06-18","dateModified":"2021-09-27","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/06\/brecha-seguridad.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/06\/brecha-seguridad.jpg","height":934,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/","commentCount":"2","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/#Comment1","dateCreated":"2021-08-23 17:34:41","description":"Buenas tardes Emilio, esto puedes denunciarlo ante la AEPD","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/#Comment2","dateCreated":"2021-08-03 18:42:45","description":"Hola buenas tarde, mi caso es que hay d\u00edas que me llamas 3, 4, 5 veces pero cuando lo cojo se quedan callados y no responden, trabajo de noche y pienso que puede ser un familiar en apuros y me despiertan, uno de los d\u00edas que libraba recib\u00ed una llamada a las 6 de la ma\u00f1ana y la verdad me enfade mucho, me comentaron que este tipo de llamada provienen de fuera de Espa\u00f1a que las compa\u00f1\u00edas telef\u00f3nicas las contratan a bajo coste sin mirar el da\u00f1o que hacen a los que las padecemos, comentar que mi tel\u00e9fono no es digital y no reflejan los N\u00ba, estoy en el listado Robinson hace a\u00f1os, me pueden ayudar por favor.\r\nUn cordial saludo.\r\nEmilio.","author":{"@type":"Person","name":"Emilio","url":""}}],"about":["CIBERSEGURIDAD","LOPDGDD & RGPD"],"wordCount":5028,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Parece que todos los d\u00edas se anuncian nuevas brechas de seguridad, algunas de las cuales afectan a millones de personas. Estas infracciones son m\u00e1s que solo p\u00e9rdida de datos; pueden afectar la disponibilidad general de los servicios, la confiabilidad de los productos y la confianza que el p\u00fablico tiene en una marca.Piensa en una violaci\u00f3n de seguridad como un robo. Si alguien rompe una ventana y entra en tu casa, eso es una violaci\u00f3n de seguridad. Si el intruso te arrebata tus documentos e informaci\u00f3n personal y vuelve a salir por la ventana, es una violaci\u00f3n de datos.Las violaciones de seguridad ocurren mucho, no necesariamente en tu casa, sino en organizaciones grandes y peque\u00f1as. Una violaci\u00f3n de seguridad puede da\u00f1ar la reputaci\u00f3n y las finanzas de una organizaci\u00f3n.Sigue leyendo para conocer la definici\u00f3n de brechas de seguridad y c\u00f3mo minimizar la posibilidad de que se produzca una infracci\u00f3n en tu organizaci\u00f3n.Definici\u00f3n de brecha de seguridad seg\u00fan el RGPDTipos de brechas de seguridad que se pueden dar\u00bfC\u00f3mo gestionar una brecha de seguridad en tu empresa? Pasos a seguirDetecci\u00f3n, identificaci\u00f3n y an\u00e1lisisClasificaci\u00f3nPlan de contingencia ante una brechaContenci\u00f3nSoluci\u00f3nRecuperaci\u00f3nComunicaci\u00f3n\u00bfC\u00f3mo Notificar la brecha de seguridad?\u00bfQui\u00e9n debe notificarla?\u00bfA qui\u00e9n debe notificarse y cu\u00e1ndo?ProcedimientoValoraci\u00f3n del riesgoDa\u00f1os materiales o inmaterialesAlcanceEvidencia o incidente realContenido m\u00ednimoFormularios para la notificaci\u00f3n de una brecha de seguridad a la AEPD y a los afectadosDescarga el modelo de notificaci\u00f3n brecha de seguridad (AEPD)Descarga el modelo de notificaci\u00f3n de brecha de seguridad (afectados)Excepciones a la obligaci\u00f3n de notificaci\u00f3nFiguras implicadasEjemplos de brechas de seguridadYahooEquifaxFacebookHome DepotSanciones y consecuencias si no se notifica la brecha adecuadamentePreguntas frecuentes\u00bfQu\u00e9 pasa si la brecha se produce por parte de terceros encargados de tratamiento?\u00bfQu\u00e9 consecuencias tiene la notificaci\u00f3n de la brecha de seguridad a la AEPD?\u00bfCu\u00e1ndo debe considerarse que supone un riesgo para los derechos de los interesados?\u00bfQu\u00e9 ocurre si notifico la brecha de seguridad despu\u00e9s del plazo de 72 horas?\u00bfC\u00f3mo puedo evitar un incidente de seguridad en mi empresa?Definici\u00f3n de brecha de seguridad seg\u00fan el RGPDUna brecha de seguridad es cualquier incidente que resulte en acceso no autorizado a datos de ordenadores, aplicaciones, redes o dispositivos que de\u00a0como resultado el acceso a la informaci\u00f3n sin autorizaci\u00f3n. Por lo general, ocurre cuando un intruso puede pasar por alto los mecanismos de seguridad.T\u00e9cnicamente, hay una distinci\u00f3n entre una violaci\u00f3n de seguridad y una violaci\u00f3n de datos. Una violaci\u00f3n de seguridad es efectivamente un robo, mientras que una violaci\u00f3n de datos se define como el cibercriminal que se escapa de la informaci\u00f3n. La violaci\u00f3n de seguridad es cuando \u00e9l entra por la ventana, y la violaci\u00f3n de datos es cuando coge tu cartera u ordenador port\u00e1til.La informaci\u00f3n confidencial tiene un valor inmenso. A menudo se vende en la web oscura. Por ejemplo, se pueden comprar nombres y n\u00fameros de tarjetas de cr\u00e9dito, y luego usarlos con fines de robo de identidad o fraude.No es sorprendente que las infracciones de seguridad puedan costarles a las compa\u00f1\u00edas enormes cantidades de dinero. En promedio, la factura es de casi 4 millones de euros para las grandes corporaciones.Tambi\u00e9n es importante distinguir la definici\u00f3n de violaci\u00f3n de seguridad de la definici\u00f3n de un incidente de seguridad.Un incidente puede involucrar una infecci\u00f3n de malware, un ataque DDoS o un empleado que deja un port\u00e1til en un taxi, pero si no resultan en el acceso a la red o la p\u00e9rdida de datos, no contar\u00edan como una violaci\u00f3n de seguridad.Por ejemplo, un ataque de fuerza bruta contra un sistema protegido, que intenta adivinar m\u00faltiples nombres de usuario y contrase\u00f1as, es un incidente de seguridad, pero no puede definirse como una violaci\u00f3n a menos que el atacante haya logrado adivinar una contrase\u00f1a.Si un incidente de seguridad le otorga al atacante acceso a sistemas protegidos, puede calificar como una violaci\u00f3n de seguridad. Si el atacante obtuvo acceso a datos confidenciales, es una violaci\u00f3n de datos.Tipos de brechas de seguridad que se pueden darPodemos clasificar las brechas de seguridad en tres tipos diferentes, en funci\u00f3n de los datos afectados y de los objetivos o consecuencias que pueden tener dichos incidentes (que pueden ser fruto de un ataque intencionado o de un descuido):Brecha de confidencialidad: Se produce al ocurrir un acceso no autorizado al almacenamiento de datos personales o cuando ocurre un ataque o descuido que pueda dejar expuestos dichos datos.Brecha de integridad: Ocurre cuando se alteran los datos o informaci\u00f3n original almacenada en el sistema, pudiendo ocasionar alg\u00fan perjuicio a la empresa o a los afectados.Brecha de disponibilidad: Se produce cuando un incidente, intencionado o no, provoca la p\u00e9rdida de acceso a los datos e informaci\u00f3n almacenada, tanto de forma temporal como permanente.Adem\u00e1s de esta clasificaci\u00f3n, las brechas de seguridad a menudo se caracterizan por el vector de ataque utilizado para obtener acceso a sistemas o datos protegidos.A continuaci\u00f3n se muestran los tipos comunes de ataques utilizados para realizar infracciones de seguridad.Denegaci\u00f3n de servicio distribuida (DDoS): los atacantes toman el control de una gran cantidad de dispositivos para formar una botnet y los utilizan para inundar un sistema de destino con tr\u00e1fico, abrumando su ancho de banda y recursos del sistema. DDoS no es un medio directo para violar los sistemas organizacionales, pero puede usarse como una distracci\u00f3n mientras los atacantes cometen la violaci\u00f3n real.Man in the middle (MitM): los atacantes interceptan la comunicaci\u00f3n entre los usuarios y el sistema objetivo, se hacen pasar por el usuario o el sistema objetivo y lo utilizan para robar credenciales o datos. Esto les permite obtener datos no autorizados o realizar acciones il\u00edcitas.Ataque de Ingenier\u00eda social: los atacantes manipulan a los usuarios o empleados de una organizaci\u00f3n, enga\u00f1\u00e1ndolos para que expongan datos confidenciales. Un m\u00e9todo de ataque com\u00fan es el phishing, en el que los atacantes env\u00edan correos electr\u00f3nicos o mensajes falsos, lo que hace que un usuario responda con informaci\u00f3n privada, haga clic en un enlace a un sitio malicioso o descargue un archivo adjunto malicioso.Malware y ransomware: los atacantes pueden infectar sistemas de destino o puntos finales conectados a un sistema de destino protegido con software malicioso, conocido como malware. El malware puede inyectarse mediante ingenier\u00eda social, explotando vulnerabilidades de software o aprovechando una autenticaci\u00f3n d\u00e9bil. El malware se puede utilizar para comprometer un sistema inform\u00e1tico y obtener el control remoto del mismo o da\u00f1ar o eliminar su contenido, como en un ataque de ransomware.Ataques de contrase\u00f1a: los atacantes pueden usar bots, en combinaci\u00f3n con listas de contrase\u00f1as comunes o credenciales robadas, para adivinar una contrase\u00f1a y comprometer una cuenta en el sistema de destino. Por lo general, esto se hace para cuentas regulares con privilegios limitados y los atacantes realizan movimientos laterales para comprometer cuentas adicionales m\u00e1s privilegiadas.Amenazas persistentes avanzadas (APT): si bien la mayor\u00eda de los ataques cibern\u00e9ticos son autom\u00e1ticos y no distinguen entre v\u00edctimas, APT es un ataque organizado y dirigido contra una organizaci\u00f3n espec\u00edfica. Lo lleva a cabo un equipo de actores de amenazas expertos durante semanas o meses y puede incluir una combinaci\u00f3n de varias t\u00e9cnicas de ataque avanzadas.\u00bfC\u00f3mo gestionar una brecha de seguridad en tu empresa? Pasos a seguirLas violaciones de datos son una amenaza constante para todas las organizaciones, y no importa cu\u00e1ntas pol\u00edticas, estrategias o defensas existan, tarde o temprano un atacante experto podr\u00e1 comprometerlas.Los efectos de una violaci\u00f3n de datos para una empresa pueden ser perjudiciales; informes citan que el 60 por ciento de las peque\u00f1as empresas se queden sin trabajo dentro de los 6 meses despu\u00e9s de una violaci\u00f3n de datos.Es importante mantenerse protegido y hacer todo lo posible para evitar ataques, pero incluso si no funcionan, no hay necesidad de entrar en p\u00e1nico. Es completamente posible recuperarse de una violaci\u00f3n de datos y volver al negocio, por lo que tener un plan de recuperaci\u00f3n es de crucial importancia. Cada organizaci\u00f3n tiene su propio plan de recuperaci\u00f3n.Aqu\u00ed tienes algunos pasos que siempre deben incluirse en caso de sufrir una brecha de seguridad en la empresa.Detecci\u00f3n, identificaci\u00f3n y an\u00e1lisisAntes de dejarnos llevar, establezcamos si, de hecho, ha habido una violaci\u00f3n. Esto es parte de la etapa de identificaci\u00f3n en el proceso de respuesta a incidentes.Debes ver lo que se ha informado y c\u00f3mo. \u00bfFue una notificaci\u00f3n de terceros? \u00bfUn miembro del personal interno que inform\u00f3 algo extra\u00f1o o hizo clic en un enlace? \u00bfTu banco fue el que te hizo saber que ha habido transacciones fraudulentas con tarjetas de cr\u00e9dito de tu organizaci\u00f3n? \u00bfLos archivos en la red est\u00e1n encriptados repentinamente?Todas estas notificaciones deben validarse y confirmarse. No ser\u00eda la primera vez que un incidente resulta ser una nueva caracter\u00edstica en un sitio web, un nuevo sistema o una configuraci\u00f3n incorrecta.\u00bfC\u00f3mo se confirma el incumplimiento? Simple, sup\u00f3n que la informaci\u00f3n recibida es correcta y formula una hip\u00f3tesis de c\u00f3mo podr\u00eda haber ocurrido.Algunas preguntas clave que deber\u00e1s hacer son:\u00bfD\u00f3nde existe esta informaci\u00f3n en nuestra organizaci\u00f3n?\u00bfC\u00f3mo se puede acceder? \u00bfEs solo interno o tiene conexi\u00f3n a Internet? Tal vez es almacenado por un tercero?Hacer estas dos preguntas te ayudar\u00e1 a establecer si realmente son tus datos y tal vez te dar\u00e1 una idea de qu\u00e9 controles pueden haber fallado. Estas preguntas te proporcionar\u00e1n orientaci\u00f3n sobre d\u00f3nde debes buscar a continuaci\u00f3n. \u00bfEstamos examinando registros web y de aplicaciones, o estamos explorando registros de acceso interno, registros proxy, registros de correo electr\u00f3nico, etc.?Ahora que lo has validado, es realmente una violaci\u00f3n o una sospecha de violaci\u00f3n, puedes pasar a la siguiente fase. Si a\u00fan no lo has hecho para ayudar a identificar los problemas, este es un buen momento para reunir al equipo de respuesta a incidentes. Puede ser un buen momento para informarle a la gerencia que existe una posible violaci\u00f3n que debe abordarse y avisar al oficial de privacidad para que sepa que puede haber un requisito de quiebra de datos de notificaci\u00f3n obligatoria.Clasificaci\u00f3nDurante la fase de an\u00e1lisis y detecci\u00f3n tambi\u00e9n es importante identificar el tipo de brecha de seguridad al que te enfrentas. En funci\u00f3n de ello habr\u00e1 que tomar unas u otras medidas. Como ya has visto, las brechas de seguridad pueden ser de diferentes tipos, desde virus o malware hasta ataques de denegaci\u00f3n de servicio, pasando por la ingenier\u00eda social.Plan de contingencia ante una brecha\u00bfC\u00f3mo actuar en caso de que se haya detectado una brecha de seguridad? De nuevo, hay que dar una serie de pasos encaminados a erradicar la amenaza y evitar que vuelva a producirse.Contenci\u00f3nLa contenci\u00f3n del incidente es el siguiente paso en el proceso. Es posible que el da\u00f1o ya est\u00e9 hecho, es cierto, pero a\u00fan debes lidiar con el hecho de que un atacante a\u00fan puede estar en tu red y a\u00fan tener acceso a los datos.En la etapa de identificaci\u00f3n, habr\u00edas mirado los diversos registros y establecido c\u00f3mo ocurri\u00f3 el hecho, o al menos tendr\u00e1s una buena idea. Si los registros web indican una inyecci\u00f3n de SQL, puedes eliminar la aplicaci\u00f3n o configurar un WAF para descartar esas solicitudes. Puedes apagar el servicio mientras identificas la causa ra\u00edz y erradicas el problema.Si fue un correo enviado por un miembro del personal, habla con el culpable y expl\u00edcale el resultado de sus acciones. Entonces, para contener el problema, puedes:Restablecer contrase\u00f1as y deshabilitar credenciales comprometidasAbordar vulnerabilidades y errores conocidos a trav\u00e9s de parchesBloqueo de acceso a la redPoner en cuarentena hosts o aplicaciones comprometidas o apagar sistemas.Tener algunas discusiones severas sobre los siguientes procesos.La decisi\u00f3n de cerrar los sistemas que efectivamente cierran las operaciones comerciales no debe tomarse a la ligera, pero puede ser necesaria para ayudar a prevenir un da\u00f1o mayor. No olvides que si tus sistemas se est\u00e1n utilizando para atacar a otros, puede ser a\u00fan m\u00e1s grave. Adem\u00e1s, comunica a la gerencia lo que ha estado sucediendo.Soluci\u00f3nUna vez que se ha logrado la contenci\u00f3n, existe una gran presi\u00f3n para eliminar la maldad de inmediato. Sin embargo, debes identificar la causa ra\u00edz del problema.Durante la identificaci\u00f3n, obtuviste las primeras pistas, durante la contenci\u00f3n, las excluiste y, con suerte, obtuviste m\u00e1s informaci\u00f3n. Ahora es el momento de observar e identificar exactamente c\u00f3mo, qu\u00e9 y por qu\u00e9 del problema.Realmente no hay sustituto para una investigaci\u00f3n exhaustiva. Hacer esto mal dar\u00e1 como resultado un sistema que se ver\u00e1 comprometido una y otra vez.Identificar la causa ra\u00edz del problema es primordial. El an\u00e1lisis debe llevarse a cabo y la ruta de compromiso debe entenderse en detalle \u00edntimo. Si no puedes explicar la quiebra de datos con detalles y no tienes una l\u00ednea de tiempo completa de los eventos, entonces la investigaci\u00f3n no est\u00e1 completa.Cuando busques la causa ra\u00edz, aseg\u00farate de administrar su evidencia, establecer sus cronogramas e identificar el c\u00f3mo y el por qu\u00e9. \u00bfFaltaron parches, una configuraci\u00f3n incorrecta de un sistema, una regla de firewall que faltaba, un c\u00f3digo incorrecto en una aplicaci\u00f3n? Crear una l\u00ednea de tiempo es, con mucho, el mejor enfoque para obtener claridad sobre los eventos que han ocasionado la violaci\u00f3n.Revisa todos los elementos. Usa las herramientas que tienes para identificar la vulnerabilidad que fue explotada. Podr\u00eda ser t\u00e9cnico, podr\u00eda ser de procedimiento. Considera implementar una herramienta de respuesta a incidentes para ayudar a identificar los sistemas comprometidos o el malware si est\u00e1n presentes.Una vez que hayas establecido c\u00f3mo puedes dise\u00f1ar estrategias para erradicar el problema.Tendr\u00e1s informaci\u00f3n sobre:el marco temporal (\u00bfcu\u00e1ndo comenz\u00f3 la violaci\u00f3n?)qu\u00e9 sistemas e informaci\u00f3n ha sido revelada, modificada o perdidaquien ha sido impactado. \u00bfEs probable que el impacto cause da\u00f1os graves?son terceros involucrados o afectadosRecuperaci\u00f3nEsta es la etapa de recuperaci\u00f3n del proceso de respuesta a incidentes. Reconstruir sistemas, recuperar datos, parchear sistemas, arreglar la configuraci\u00f3n para asegurarse de que no vuelva a ocurrir el mismo problema.Este paso est\u00e1 informado y guiado por el resultado de los pasos de erradicaci\u00f3n anteriores. La limpieza posterior a la quiebra de los datos es vital para prevenir la recurrencia.Constr\u00fayelo desde cero, parche, pru\u00e9balo, escanea, parchea de nuevo, pru\u00e9balo de nuevo, aseg\u00farate de aplicar todos los controles adicionales que has identificado para ayudar a prevenir los problemas. Pru\u00e9balo de nuevo. Despu\u00e9s de todo eso, esa es la etapa en la que el sistema se puede volver a poner en l\u00ednea.Ten en cuenta que durante la recuperaci\u00f3n, es probable que tu personal de soporte y administraci\u00f3n permanezca con exceso de trabajo y bajo presi\u00f3n. Implementa y aplica procesos de gesti\u00f3n de la fatiga para gestionar las cargas de trabajo para garantizar que los errores tontos no se introduzcan en esta etapa.Comunicaci\u00f3nLas lecciones aprendidas en la etapa de preparaci\u00f3n son clave. Una vez que el incidente haya terminado, si\u00e9ntate y preg\u00fantate lo que deber\u00eda haber ido mejor. Revisa la informaci\u00f3n del an\u00e1lisis de causa ra\u00edz y determina qu\u00e9 es parte de la respuesta a incidentes.Actualiza la documentaci\u00f3n, escribe un informe posterior al incidente. El Informe posterior al incidente proporciona excelentes lecciones aprendidas, permite una revisi\u00f3n objetiva de los procesos actuales y brinda oportunidades de mejora.Desde una perspectiva de notificaci\u00f3n, debes notificar ese incidente de seguridad a los afectados y a las autoridades correspondientes, seg\u00fan lo exigido en la normativa para la resoluci\u00f3n de estas incidencias.Si me pongo en la posici\u00f3n de un individuo afectado por una violaci\u00f3n. Evaluar\u00e9 la violaci\u00f3n para ver si la organizaci\u00f3n violada ha hecho todo lo posible para asegurar mi informaci\u00f3n personal y datos confidenciales antes de la violaci\u00f3n.Lo que m\u00e1s me importar\u00e1 desde el punto de ser notificado, es c\u00f3mo la organizaci\u00f3n gestiona la quiebra y la recuperaci\u00f3n.Si la recuperaci\u00f3n y la gesti\u00f3n son ejemplares, es m\u00e1s probable que proporcione a la empresa divulgadora un cierto grado de comprensi\u00f3n y les brinde el beneficio de la duda. Si la gesti\u00f3n de incumplimiento es deficiente o descuidada, llevar\u00e9 mis datos y mi negocio a otra parte.\u00bfC\u00f3mo Notificar la brecha de seguridad?Si bien el RGPD deja el significado de las infracciones de datos bastante amplio, es mucho m\u00e1s espec\u00edfico sobre c\u00f3mo manejarlas.El art\u00edculo 33 del RGPD se titula \u00abNotificaci\u00f3n de una violaci\u00f3n de datos personales a la autoridad supervisora\u00bb, y establece el procedimiento adecuado notificaci\u00f3n de una violaci\u00f3n de datos en t\u00e9rminos claros.\u00bfQui\u00e9n debe notificarla?El RGPD se\u00f1ala que los encargados de notificar las brechas de seguridad han de ser los controladores de datos de una empresa. La propia normativa lo define como \u00abla persona f\u00edsica o moral, autoridad p\u00fablica, dependencia u otro organismo que solo, o en conjunto con otros, determina la finalidad y los medios para procesar los datos personales\u00bb. Es decir, el responsable del tratamiento.\u00bfA qui\u00e9n debe notificarse y cu\u00e1ndo?El responsable del tratamiento debe informar sobre las brechas de seguridad a la autoridad de supervisi\u00f3n adecuada, que en el caso de Espa\u00f1a es la AEPD, dentro de las 72 horas posteriores a su conocimiento. Si un encargado de tratamiento descubre la violaci\u00f3n, debe notificar al responsable sin demora indebida.En cuanto a los interesados que hayan podido verse afectados por brechas de seguridad en empresas a las que han cedido sus datos personales, el RGPD establece que tambi\u00e9n deben ser informados cuando estos incidentes puedan poner en riesgo sus derechos fundamentales, en cuyo caso hay que informarles sin demora indebida.Para poder ayudar a los responsables de tratamiento que puedan tener dudas sobre si deben o no informar a los interesados tras sufrir una brecha de seguridad, la AEPD ha creado Comunica-Brecha RGPD.Esta herramienta no es m\u00e1s que un formulario que una vez rellenado con la informaci\u00f3n sobre la empresa, los datos tratados, las consecuencias de la brecha y alguna informaci\u00f3n m\u00e1s al respecto, ofrecer\u00e1 tres posibles respuestas:Es necesario informar sobre la brecha de seguridad, porque el riesgo para los derechos de los afectados es alto.No es necesario informarles.No se puede determinar el grado de riesgo.Estas respuestas son orientativas, pero usar Comunica-Brecha RGPD no elimina la obligaci\u00f3n de informar a la AEPD ni tampoco a los interesados afectados, si se determina que el riesgo para sus derechos y libertades es alto.ProcedimientoEl detectar una brecha de seguridad se han de evaluar una serie de factores, para poder comunicar el hecho a la autoridad de supervisi\u00f3n con la mayor exactitud posible.Valoraci\u00f3n del riesgoDefinir el tipo de amenaza al que se enfrenta la empresa. \u00bfSe trata de un virus o malware? \u00bfHa sido un ataque man-in-the-middle? \u00bfO un ataque DNS?Se trata de determinar el nivel de riesgo que para los derechos y libertades de los afectados pueden tener las brechas de seguridad inform\u00e1tica\u00a0sufridas por una empresa.Da\u00f1os materiales o inmaterialesDeterminar los da\u00f1os que dicha amenaza puede suponer para la empresa tanto para sus equipos de trabajo, ya sea hardware o software, como para su operativa interna.AlcanceLas consecuencias que podr\u00eda acarrear. \u00bfQu\u00e9 \u00e1reas de la compa\u00f1\u00eda podr\u00edan verse afectadas por esta brecha de seguridad? \u00bfSupone alg\u00fan riesgo para los empleados? \u00bfY para la seguridad o privacidad de los clientes?Evidencia o incidente realEn caso de que las brechas de seguridad pudieran tener graves consecuencias, es recomendable ponerse en contacto con la autoridad de supervisi\u00f3n tan pronto como existan indicios de esta situaci\u00f3n irregular.Contenido m\u00ednimoLa notificaci\u00f3n a la AEPD de brechas de seguridad \u200b\u200bdebe incluir varios datos espec\u00edficos, que incluyen:La naturaleza y el alcance de la quiebra de datos, incluidas, cuando sea posible, las categor\u00edas de datos, la cantidad de interesados \u200b\u200by la cantidad de registros de datos personales involucradosInformaci\u00f3n de contacto del Delegado de protecci\u00f3n de datos de la organizaci\u00f3n u otro punto de contactoPosibles consecuencias de la violaci\u00f3n.Qu\u00e9 intenta hacer la empresa para abordar la violaci\u00f3n y limitar la amenaza a los interesadosLas organizaciones que no informan una violaci\u00f3n de datos en el plazo asignado de 72 horas tienen la oportunidad de explicar los motivos de la demora, pero pueden enfrentar multas y sanciones importantes.Formularios para la notificaci\u00f3n de una brecha de seguridad a la AEPD y a los afectadosDescarga el modelo de notificaci\u00f3n brecha de seguridad (AEPD)Descargar modeloDescarga el modelo de notificaci\u00f3n de brecha de seguridad (afectados)Descargar modelo Excepciones a la obligaci\u00f3n de notificaci\u00f3nNo existe la obligaci\u00f3n de notificar brechas de seguridad en los siguientes casos:Cuando se hubieran tomado las medidas t\u00e9cnicas y organizativas necesarias antes de la violaci\u00f3n de seguridad.Si el responsable ha tomado posteriormente a la violaci\u00f3n las medidas necesarias para evitar que el riesgo se convierta en real.En caso de que la notificaci\u00f3n requiera un esfuerzo demasiado alto, en cuyo caso se podr\u00eda sustituir por una comunicaci\u00f3n p\u00fablica.Figuras implicadasLas figuras implicadas en la notificaci\u00f3n de brechas de seguridad son los responsables o encargados del tratamiento, o de sus representantes. Tambi\u00e9n, el Delegado de Protecci\u00f3n de Datos en los casos previstos por ley. De otra parte, est\u00e1 la autoridad de control a la cual se remite el incidente.Ejemplos de brechas de seguridadEstos son solo algunos ejemplos de las infracciones de seguridad a gran escala que se descubren todos los d\u00edas.YahooLa infracci\u00f3n de seguridad de Yahoo fue causada por una campa\u00f1a de correo electr\u00f3nico de phishing y result\u00f3 en el compromiso de m\u00e1s de 3 mil millones de cuentas de usuario. Los datos expuestos incluyen nombres, n\u00fameros de tel\u00e9fono, preguntas de seguridad y contrase\u00f1as d\u00e9bilmente cifradas. Muchas de esas contrase\u00f1as han llegado a la web oscura y forman la base de las bases de datos de credenciales robadas que los atacantes utilizan hoy en d\u00eda.La violaci\u00f3n ocurri\u00f3 en 2013 y 2014, pero solo descubri\u00f3 en 2016.EquifaxEquifax es un servicio de informes de cr\u00e9dito en Estados Unidos. Los atacantes explotaron una vulnerabilidad en Struts, un marco de c\u00f3digo abierto que fue utilizado por el sitio web de la organizaci\u00f3n.La tragedia fue que se trataba de una vulnerabilidad conocida y los procedimientos adecuados para parchear y actualizar los sistemas del sitio web habr\u00edan evitado la violaci\u00f3n. El ataque expuso la informaci\u00f3n privada de 145 millones de personas, incluidos nombres, n\u00fameros de seguridad social y licencias de conducir, creando un grave riesgo de robo de identidad.FacebookEn 2018, los atacantes obtuvieron acceso a 400.000 cuentas de usuario de Facebook y las usaron para obtener los tokens de acceso de 30 millones de usuarios de Facebook. Estos tokens proporcionan acceso completo a las cuentas de Facebook.Catorce millones de usuarios ten\u00edan informaci\u00f3n privada expuesta, incluido el estado de la relaci\u00f3n y los lugares recientes que visitaron. Quince millones ten\u00edan nombres y datos de contacto violados.Home DepotEl robo de informaci\u00f3n de tarjetas de pago se ha convertido en un problema com\u00fan en la sociedad actual. Incluso despu\u00e9s de las lecciones aprendidas de la violaci\u00f3n de datos de Target, los sistemas de punto de venta de Home Depot se vieron comprometidos por m\u00e9todos de explotaci\u00f3n similares.El uso de credenciales de proveedores de terceros robadas y el malware de eliminaci\u00f3n de RAM fueron fundamentales para el \u00e9xito de ambas violaciones de datos.El malware de raspado de RAM captur\u00f3 los datos de la tarjeta de pago en el incumplimiento de Home Depot, no los skimmers de tarjetas de pago. Sin embargo, el malware nunca se habr\u00eda instalado en los sistemas si los atacantes no tuvieran credenciales de terceros y si la red de pago estuviera segregada adecuadamente del resto de la red de Home Depot.La implementaci\u00f3n del cifrado P2P y la segregaci\u00f3n de red adecuada habr\u00edan evitado la violaci\u00f3n de datos de Home Depot.Sanciones y consecuencias si no se notifica la brecha adecuadamenteNo comunicar las brechas de seguridad se considera como una infracci\u00f3n grave y podr\u00eda acarrear multas de hasta 10 millones de euros o el 2% del volumen de negocio de la empresa en el ejercicio anterior.Preguntas frecuentes\u00bfQu\u00e9 pasa si la brecha se produce por parte de terceros encargados de tratamiento?Los encargados deben informar a los responsables del tratamiento siempre que se produzca una brecha de seguridad que puedan suponer que se ha producido una quiebra de seguridad de datos personales.\u00bfQu\u00e9 consecuencias tiene la notificaci\u00f3n de la brecha de seguridad a la AEPD?Notificar las brechas de seguridad tiene un doble aspecto positivo. Por un lado, reduce la sanci\u00f3n que podr\u00eda recibir la empresa. Por otro, limpia la imagen que ofrece a la opini\u00f3n p\u00fablica.\u00bfCu\u00e1ndo debe considerarse que supone un riesgo para los derechos de los interesados?Casos en lo que exista riesgo de fraude o usurpaci\u00f3n de identidad, reversi\u00f3n de la anonimizaci\u00f3n, p\u00e9rdidas financieras para la empresa o perjuicio para su reputaci\u00f3n.Cuando se ponga en riesgo la confidencialidad de informaci\u00f3n sometida al deber de secreto profesional. O se eval\u00faen aspectos personales referentes al rendimiento laboral.Si el tratamiento afecta a un elevado n\u00famero de interesados e implica el tratamiento de un gran volumen de datos personales.\u00bfQu\u00e9 ocurre si notifico la brecha de seguridad despu\u00e9s del plazo de 72 horas?Si una empresa no notifica una brecha de seguridad a tiempo corre el riesgo de ser sancionada.En todo caso, se puede realizar la notificaci\u00f3n pasado este plazo, siempre y cuando se acompa\u00f1e de una explicaci\u00f3n que argumente los motivos de este retraso.\u00bfC\u00f3mo puedo evitar un incidente de seguridad en mi empresa?Esta es la pregunta m\u00e1s complicada de todas. Nadie est\u00e1 totalmente a salvo de sufrir alg\u00fan ataque inform\u00e1tico o un fallo de seguridad. En todo caso, hay que adoptar las medidas t\u00e9cnicas y organizativas necesarias para reducir al m\u00e1ximo las posibilidades de que esto suceda. Tambi\u00e9n hay que tener una pol\u00edtica de seguridad definida y un protocolo de respuesta ante incidentes, con el objetivo de actuar con la mayor rapidez posible ante los ataques.Pod\u00e9is ampliar esta informaci\u00f3n sobre el tratamiento de las brechas de seguridad seg\u00fan el RGPD, en la Gu\u00eda para la gesti\u00f3n y notificaci\u00f3n de brechas de seguridad de la AEPD."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/18\/brechas-seguridad\/#breadcrumbitem","name":"Brechas de seguridad \u00bfqu\u00e9 son y c\u00f3mo actuar ante ellas?"}}]}]