CIBERSEGURIDAD: Protégete de las brechas de seguridad

El pasado viernes, 28 de enero, se celebró el Día Europeo de la Protección de Datos. Una fecha que se viene recordando desde 1981, año en el que se firma el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Durante los años de la pandemia, los ciberdelitos han aumentado considerablemente, alcanzando cifras récord. Solo en España, y según datos del Ministerio del Interior en su VII Informe sobre Cibercriminalidad, las Fuerzas y Cuerpos de seguridad registraron en el año 2020, 287.963 hechos presuntamente delictivos relacionados con las tecnologías de la información y las comunicaciones. Esto supuso un incremento del 31,9% con respecto al 2019.

Con el objetivo de concienciarnos sobre las brechas de seguridad existentes, RSI nos propone adentrarnos en un atraco en la Fábrica Nacional de Moneda y Timbre.

Analizamos un posible caso de robo de información
Las Fuerzas y Cuerpos de Seguridad como DPO han recibido un aviso: una banda muy peligrosa ha atracado la Fábrica Nacional de Moneda y Timbre. Durante el robo, se ha sustraído información de 6.000 rehenes, produciéndose diferentes brechas de seguridad (pérdida, destrucción y alteración accidental o ilícita de datos personales, o bien la comunicación o acceso no autorizado a los mismos), que ponen en peligro la privacidad y la seguridad de la información de la Fábrica. 

¿Qué ha podido ocurrir?
⦁    Envío de correos masivos sin copia oculta. ¡Oh no! Uno de los empleados de la Fábrica Nacional de Moneda y Timbre ha procedido a enviar un correo masivo a muchos destinatarios sin poner a estos en copia oculta, quedando así visibles las direcciones. Esto conlleva una vulneración del principio de confidencialidad de los datos. Para evitar que se produzca el robo de información, es necesario que la Fábrica de Moneda y Timbre garantice que sus empleados utilizan el apartado CCO del correo electrónico cuando hacen envíos de correos electrónicos masivos a distintos destinatarios ajenos a la Fábrica.

⦁    Envío de fichero con datos personales a destinatario erróneo. Nos encontramos ante un robo de información, donde los datos personales de un rehén han sido accesibles por parte de un tercero ajeno. Además, han sido legibles, debido a que los datos no se encontraban cifrados, ni seudonimizados. Como sistema antirrobo, la Fábrica Nacional de Moneda y Timbre hará mayor hincapié en la formación de los rehenes, informándoles que, en el momento de proceder al envío de documentación con datos personales a clientes, se verifique antes que la dirección de correo electrónico es la correcta, así como que la documentación adjunta corresponde al cliente en cuestión.

Recuerda la importancia de que la información esté cifrada para que, ante situaciones similares, los datos no son legibles para el ladrón.

⦁    Robo de documentos a la empresa de mensajería con datos personales de personas físicas. El proveedor de mensajería que tienen contratado ha sufrido un robo de la documentación que transportaba y que contenía datos personales de distintos rehenes. No hay que preocuparse, la Fábrica Nacional de Moneda y Timbre tiene medidas preventivas como son la identificación del subencargado del envío en el contrato, el detalle de las medidas de seguridad implantadas por el proveedor para proteger la información y la determinación del plazo para la notificación de incidentes.

Es fundamental el cumplimiento de estas medidas antes de la contratación, pues en caso de brecha, facilitará mucho la gestión.

⦁    Pérdida, sustracción o robo de dispositivo electrónico con datos personales. Se ha producido el robo de un portátil a un empleado de la Fábrica Nacional de Moneda y Timbre que contenía numerosos datos (identificativos y económicos) de rehenes. Ante esta situación, además de la medida mitigadora de proteger el dispositivo con usuario y contraseña, la FNMT tiene implantadas otras medidas como el cifrado de discos duros de los dispositivos portátiles. 

⦁    Envío de información sensible con datos personales de un rehén a un tercero no autorizado. Se ha detectado que un empleado de la FNMT ha facilitado a un rehén, previa petición de este, las claves de acceso a la banca electrónica de su mujer, así como el código PIN de la tarjeta. Estas peticiones deben negarse. Dichos trámites siempre tienen que solicitarse por el canal habitual, evitando WhatApps, y nunca remitiendo información personal al rehén o a un tercero. 

⦁    Recepción de email que encripta archivos bloqueando su acceso. Cuando recibamos un correo electrónico que no hayamos solicitado y que desconozcamos su origen, no debemos abrir los enlaces o archivos adjuntos. Además, tenemos que fijarnos con detalle en la redacción del email y en el correo electrónico del emisor y comprobar las direcciones de los correos sospechosos para ver si son auténticas.

¡Un rescate de éxito! 
Gracias a la rápida actuación de los empleados, se ha podido proceder al rescate de la información afectada y a poder mitigar lo ocurrido. Han seguido cuidadosamente los siguientes pasos: