La Agencia Española de Protección de Datos (en adelante, “AEPD”) impuso una sanción de 600.000 euros a una entidad financiera como consecuencia de una brecha de seguridad que permitió a los atacantes acceder al área personal de casi 10.000 clientes, utilizando sus credenciales a través de la página web de la entidad.
Los atacantes, una vez robaban las credenciales y accedían al espacio privado de los clientes, suplantaban la identidad de la entidad financiera, y, haciéndoles creer que había ocurrido algún tipo de error en las transacciones, les solicitaban ingresos en cuentas controladas por los propios estafadores.
En el marco de la investigación, la AEPD llegó a las siguientes conclusiones:
- La AEPD constató que la entidad adoptó medidas técnicas insuficientes.
- La entidad financiera comunicó la brecha de seguridad tarde, y no en el momento en que tuvo conocimiento de la misma (la AEPD constató que la brecha se comunicó hasta 8 meses tarde).
- A la hora de evaluar el riesgo de la brecha de cara a los derechos fundamentales de las personas interesadas, la entidad financiera asignó valores incorrectos a las variables.
- Es cierto que la entidad financiera implementó el Doble Factor de Autenticación, pero lo hizo con posterioridad a que la brecha de seguridad se hubiera materializado.
Con todo, la AEPD destaca la necesidad de ser proactivos en la protección de datos, y no reactivos. La falta de medidas adecuadas y la incorrecta valoración de los riesgos asociados a los incidentes y brechas de seguridad pueden resultar en sanciones significativas para las empresas, y, en este sentido, la AEPD subraya la importancia de una correcta implementación y evaluación continua de las medidas de seguridad.
