Las brechas de datos son incidentes de seguridad informática que dejan al descubierto datos sensibles de los usuarios que recurren a determinados servicios. Es lo que ha sucedido estos días con dos sistemas de autocita para la vacuna contra el coronavirus en España. Te explicamos qué es lo que ha ocurrido y cómo evitar que tus datos acaben expuestos.
La brecha de datos más reciente afectó al sistema de autocita para la vacuna contra la COVID-19 de la Generalitat de Cataluña. La descubrió un grupo de hackers éticos. Según la Consejería de Salud, los datos personales quedaron expuestos pero no hay constancia de que fueran “usurpados”.Carlos Seisdedos, responsable de la División de Inteligencia de Internet Security Advisors, advierte de que el mero hecho de acceder a esos datos “es ilegal” aunque luego no sean usados ni robados. “Por mucho que sean hackers éticos tú no puedes realizar un análisis de una página web sin autorización del propietario”, subraya.
Días antes, la Comunidad de Madrid registró una brecha en el sistema de autocita de la vacuna contra el coronavirus que dejó al descubierto datos de miles de madrileños. La incidencia permitió acceder a datos del rey Felipe y del presidente del Gobierno. Seisdedos afirma que el episodio derivó de “un fallo de programación”: “Es un problema de diseño y de que esas aplicaciones luego no se testean después por parte de alguna entidad o empresa externa para comprobar que realmente funcionen”.
En enero de 2019 se detectó otra brecha de datos, Collection#1, que se suele citar por su volumen: más de 770 millones de correos electrónicos afectados, incluidos 21 millones de contraseñas. La descubrió el dueño de HaveIbeenpwned, una herramienta de la que te hablamos más adelante. En este caso, según nos detallan los expertos Carlos Seisdedos y Vicente Aguilera, la filtración era una “recopilación” de emails, incluidos algunos procedentes de filtraciones anteriores.
En septiembre de 2017, una brecha de seguridad permitió el acceso al sistema de comunicaciones judiciales español LexNET. Un joven estudiante descubrió la vulnerabilidad y comunicó que permitía ver los expedientes judiciales. Por esta incidencia, la Agencia Española de Protección de Datos (AEPD) sancionó por una infracción grave al Ministerio de Justicia, como puedes ver en su resolución.
La AEPD es la autoridad competente en materia de protección de datos en España, salvo en el caso de Euskadi, Cataluña y Andalucía, comunidades autónomas que cuentan con sus propios organismos.
¿Cómo detectar si un sistema es seguro para nuestros datos?
Carlos Seisdedos nos asegura por teléfono que en casos como los recientes de Madrid y Cataluña “es imposible” que el ciudadano sepa si en el futuro habrá una filtración de datos. “El usuario no tiene ninguna capacidad para ser consciente de si tiene algún tipo de fallo de programación con el que en el futuro se pueda realizar algún tipo de exfiltración”, señala. También afirma que el hecho de que el sistema tenga “un doble factor de autentificación” (identificarse de dos modos distintos) no impide que pueda registrarse una brecha porque en Cataluña el sistema de autocita tenía esa doble confirmación y los datos quedaron expuestos.
Vicente Aguilera, director de Auditoría de Internet Security Auditors, nos recomienda que comprobemos en el navegador el certificado de la página web en la que vamos a meter nuestros datos para ver si es actual o está desactualizado. También para observar si los datos que muestra corresponden o no a esa página. Si quieres ver el certificado navegando en Chrome, hay que clicar en el candado que aparece junto a la dirección de la web y pulsar en ver el certificado. Nos aconseja desconfiar de un sistema que pida “información sensible o personal más allá de la estrictamente necesaria”. Un ejemplo sería una web sanitaria que reclame introducir tus datos bancarios.
¿Cómo saber si han robado tus datos?
Los expertos consultados y el Instituto Nacional de Ciberseguridad (INCIBE) coinciden al recomendar que comprobemos si nuestros datos han sido desvelados en la página. Con la herramienta HaveIbeenpwned, podemos ver si nuestro email o el móvil se han visto afectados por brechas o filtraciones de datos.
Carlos Seisdedos recomienda que creemos alertas de Google con nuestros datos, por ejemplo con el DNI, para que nos llegue un aviso cuando la plataforma detecte que acaba de salir en Internet: “Google lo cacheará y nos enviará un correo”. De esta forma, sabremos casi de inmediato cuándo aparecen publicados en la red nuestros datos personales y dónde salen. Vicente Aguilera explica que también podemos revisar las diferentes páginas web que recopilan la información sobre grandes filtraciones de datos personales.
¿Cómo evitar una brecha y actuar ante ella?
Para evitar que nuestros datos personales puedan quedar expuestos, ya sea por phishing o por una brecha de seguridad en redes, la Organización de Consumidores y Usuarios (OCU) aconseja extremar la precaución con las claves. También recuerda no reutilizarlas y no exponer en redes lo que no queremos que pueda ser público.
Álvaro de Losada, inspector jefe en la Unidad Central de Ciberdelicuencia de la Comisaría de Policía Judicial, asegura por teléfono a VerificaRTVE que cuando hay una brecha de datos hay que comunicarlo a la AEPD por la legislación vigente. Si un ciudadano cree que ha sido víctima de un delito porque han accedido a sus datos con una brecha, su recomendación es que lo comunique a las fuerzas y cuerpos de seguridad del Estado. En concreto aconseja avisar a la Policía a través del apartado de Colaboración Ciudadana. También recomienda comunicar lo sucedido a la entidad gestora de los datos personales.
¿Cómo notificar el caso?
La AEPD ofrece en su web el formulario para que cualquier organización o empresa afectada notifique la incidencia. También pone a disposición del público la herramienta Comunica-Brecha-RGPD, que ayuda a las organizaciones a decidir si deben comunicar o no la brecha a las personas afectadas.
La agencia oficial explica en esta guía que, cuando se registra una brecha de datos, la entidad responsable debe comunicar la incidencia a las autoridades. El aviso lo tiene que dar a la autoridad competente “sin dilación indebida y, a más tardar, dentro de las 72 horas desde que se tenga constancia de la brecha de datos personales” (página 18).