El número de teléfono, el nombre, la localización o el correo electrónico. Los datos personales de más de 500 millones de usuarios de Facebook aparecieron, hace unos días, en un foro de hackers. Una (nueva) brecha de seguridad de la red social creada por Mark Zuckerberg que se suma a otras fugas de datos como la comunicada en 2018. Hace tres años, los afectaron fueron 50 millones de usuarios. ¿Consecuencias más directas? Exposición pública de datos privados y la posibilidad de que desencadenen en un notable aumento de los ataques de phishing y smishing, una variante de phishing en la que se emplean mensajes de texto o sms, según informan desde Channel Partner. Pero el sonoro y clamoroso caso de Facebook no es el único que ha hecho saltar las alarmas en los últimos días.

Nada más y nada menos que los datos de (otros) 500 millones de usuarios de LinkedIn también han acabado en un foro de hackers, donde se han puesto a la venta, aunque se desconoce si esta información corresponde a una brecha de seguridad anterior como en el caso de Facebook, según informa Cybernews. Igual de sonoro fue el ciberataque que registró el Servicio Público de Empleo Estatal (SEPE) y que provocó la caída del sistema informático. Un mes después, el organismo público no ha podido pagar a tiempo todas las prestaciones y según datos de los sindicatos, entre 80.000 y 90.000 personas sufrirán retrasos en el cobro de la prestación de abril de 2021.

Pero, ¿qué es exactamente una brecha de seguridad y cuáles son las obligaciones de las empresas? Tal y como define la Agencia Estatal de Protección de Datos (AEPD), es “un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales”.

El Reglamento (UE) 2016/679 General de Protección de Datos establece, en sus artículos 33 y 34, tienen la obligación de que las organizaciones públicas y privadas actúen como responsables, de la brecha de seguridad que puedan ocasionar daños a las personas notificándosela a la Autoridad de Control competente en un plazo de 72 horas desde se conoce la brecha. Si los daños pueden ser de carácter graves, también deben comunicárselo a los posibles afectados para que puedan actuar en consecuencia.

Además, existen otras disposiciones normativas que obligan a notificar brechas de seguridad a la AEPD, como el artículo 41 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones a los operadores de servicios de comunicaciones electrónicas disponibles al público. En ambos casos, explica la AEPD, las notificaciones de brechas de seguridad se realizan mediante el formulario de notificaciones disponible en la Sede Electrónica.

“La organización debe reflexionar sobre lo que ha sucedido, cuáles son las consecuencias para las personas cuyos datos se han visto afectados, qué medidas de seguridad técnicas u organizativas podrían haber evitado la brecha y la conveniencia de incorporarlas, y qué acciones tomar para evitar que las personas sufran los daños potenciales y evitar que el incidente se repita”, señalan en la wb de la agencia pública.

Hoy en día, las brechas de seguridad y las consecuencias derivadas de estos fallos internos pueden ser muy dañinos tanto para las organizaciones como para los usuarios y ciudadanos. Por ello, es tan importante crear espacios profesionales como Cyber Security Expo Madrid. El próximo 27 y 28 de octubre, CISOs, miembros de equipos de seguridad, responsables de infraestructuras y operaciones y consultores, entre otros expertos, analizarán las amenazas del momento, determinarán los retos del futuro y, sobre todo, pondrán el foco en las medidas y acciones que se deben integrar en la estructura de las empresas para crear un entorno ciberseguro para prevenir las brechas de seguridad con la fuga masiva de datos como una de las consecuencias más notorias.