Una
de
las
mayores
multas
impuestas
por
la
Agencia
Española
de
Protección
de
Datos
(AEPD)
en
toda
su
historia
se
está
debatiendo
ahora
mismo
en
la
Audiencia
Nacional.
En
un
caso
sin
precedentes
en
España,
la
cadena
de
tiendas
de
tecnología
y
telefonía
The
Phone
House
se
juega
tener
que
pagar
o
no
una
sanción
de
6,5
millones
de
euros
impuesta
por
la
Agencia
Española
de
Protección
de
Datos
(AEPD)
el
año
pasado.
¿El
motivo?
La
filtración
y
secuestro
de
aproximadamente
100
GB
de
datos
personales
de
hasta
13
millones
de
clientes,
ex-clientes,
empleados
y
proveedores.
La
información
robada
incluía
datos
como
nombres
completos,
DNI,
direcciones,
correos
electrónicos,
números
de
teléfono,
nacionalidades,
fechas
de
nacimiento,
datos
bancarios
e
incluso
detalles
de
los
dispositivos
y
productos
contratados,
como
seguros
y
códigos
IMEI
de
teléfonos
móviles.
NO
TE
ENGAÑEN!
Los
principales
TIMOS
en
COMPRAS
ONLINE
y
CÓMO
EVITARLOS
El
ciberataque:
secuestro
de
datos
y
filtración
masiva
El
origen
de
la
controversia
remonta
a
abril
de
2021,
cuando
The
Phone
House
fue
víctima
de
un
devastador
ataque
de
ransomware
perpetrado
por
el
grupo
Babuk,
conocido
en
la
‘deep
web’
por
secuestrar
información
de
empresas.
Los
hackers
tomaron
control
de
los
sistemas
de
la
empresa,
cifrando
archivos
y
trasladando
la
información
a
servidores
externos.
Los
ciberdelincuentes
exigieron
el
pago
de
un
rescate
no
revelado
para
evitar
la
publicación
de
información
sensible
en
la
deep
web.
Tras
la
negativa
de
la
compañía
a
ceder
al
chantaje,
Babuk
publicó
la
información
robada,
exponiendo
a
millones
de
personas
a
riesgos
de
fraude
y
suplantación
de
identidad.
Fallos
de
seguridad
y
negligencias
según
la
AEPD
La
AEPD
determinó
que
el
robo
de
información
fue
facilitado
por
importantes
fallos
en
las
medidas
de
seguridad
de
la
empresa.
Según
el
informe
de
la
agencia,
la
negligencia
de
The
Phone
House
en
la
gestión
de
los
datos
personales
de
sus
usuarios
fue
un
factor
determinante
en
la
magnitud
de
la
filtración.
Por
ello,
la
multa
de
la
AEPD
se
desglosa
en
dos
partes:
-
3,5
millones
de
euros
por
vulnerar
el
artículo
5.1.f)
del
Reglamento
General
de
Protección
de
Datos
(RGPD),
que
exige
garantizar
la
seguridad
de
los
datos
personales. -
3
millones
de
euros
por
incumplir
el
artículo
32
del
RGPD,
relativo
a
la
implementación
de
medidas
técnicas
y
organizativas
adecuadas
para
asegurar
un
nivel
de
seguridad
adecuado
al
riesgo.
Entre
los
puntos
más
críticos
se
señalaron:
-
Datos
sin
anonimización
ni
cifrado:
La
información
almacenada
no
estaba
protegida
mediante
mecanismos
de
anonimización
o
cifrado,
lo
cual
facilitó
el
acceso
directo
a
datos
personales
sensibles. -
Falta
de
autenticación
en
el
acceso
de
administradores:
La
empresa
no
contaba
con
un
sistema
de
autenticación
de
doble
factor
para
las
cuentas
administrativas,
lo
que
dejó
un
acceso
vulnerable
y
fácilmente
explotable
por
los
atacantes. -
Configuración
inadecuada
del
cortafuegos:
La
AEPD
también
indicó
que
el
cortafuegos
estaba
configurado
de
manera
insuficiente,
permitiendo
el
acceso
desde
IPs
ubicadas
en
países
como
Bulgaria
y
Moldavia,
así
como
desde
redes
TOR,
lo
que
facilitó
el
ingreso
de
los
hackers.
Ante
la
magnitud
de
los
daños
y
el
volumen
de
datos
comprometidos,
la
AEPD
calificó
de «grave
negligencia»
el
comportamiento
de
The
Phone
House,
considerando
que,
como
empresa
de
gran
envergadura,
la
firma
debía
contar
con
medidas
de
seguridad
acordes
a
los
altos
riesgos
inherentes
a
su
actividad.
La
empresa
maneja
y
procesa
datos
masivos
de
clientes
y
empleados,
y
además
realiza
análisis
de
perfilado,
por
lo
que
su
responsabilidad
en
cuanto
a
la
protección
de
datos
es
especialmente
elevada.
Disputa
en
la
Audiencia
Nacional
La
multa
de
6,5
millones
de
euros,
una
de
las
mayores
jamás
impuesta
por
la
AEPD,
se
encuentra
ahora
en
disputa
en
la
Audiencia
Nacional,
donde
The
Phone
House
busca
frenar
la
medida
a
través
de
un
recurso
contencioso-administrativo.
La
empresa
solicitó
la
suspensión
cautelar
del
pago
de
la
sanción,
argumentando
que
el
desembolso
de
esta
cuantiosa
suma
le
impediría
cumplir
con
otras
obligaciones
financieras
y
empresariales
esenciales.
Además,
la
compañía
solicitó
la
confidencialidad
de
ciertos
documentos,
entre
ellos
un
informe
de
auditoría
y
un
certificado
de
acuerdo
del
órgano
de
administración
de
la
entidad.
Sin
embargo,
la
Audiencia
denegó
esta
petición,
considerando
que
no
existía
justificación
suficiente
para
reservar
esos
documentos
del
escrutinio
público
y
del
abogado
del
Estado,
y
subrayando
que
la
documentación
en
cuestión
no
contenía
información
especialmente
sensible.
The
Phone
House
afirma
confiar
en
la
revocación
La
compañía
ha
señalado
en
sus
estados
financieros
que
no
ha
realizado
ninguna
provisión
para
la
sanción
en
sus
cuentas
porque
sus
asesores
legales
confían
en
que
existen
bases
suficientes
para
que
el
fallo
sea
revocado
en
instancias
judiciales
superiores.
Según
su
interpretación,
la
sanción
podría
considerarse
excesiva
y
ser
eventualmente
anulada
o
reducida,
como
ha
ocurrido
en
casos
recientes
con
otras
empresas.
Gran
parte
de
la
argumentación
de
The
Phone
House
ante
la
AEPD
giró
en
torno
a
la ‘responsabilidad
objetiva’:
la
compañía
sostiene
que
la
ley
no
exige
una «obligación
de
resultado»
(es
decir,
que
no
garantiza
una
protección
infalible
contra
ataques
externos),
sino
una «obligación
de
medios»
(que
implica
tomar
medidas
razonables
para
mitigar
riesgos).
The
Phone
House
asegura
que
cumplió
con
esta
obligación,
y
cita
precedentes
legales
donde
los
tribunales
rechazan
la
responsabilidad
directa
de
empresas
víctimas
de
ciberataques,
salvo
que
haya
negligencia
demostrable.
Por
otra
parte,
alega
que
el
ransomware
utilizado
contra
sus
sistemas
era
nuevo
en
ese
momento
y,
por
ello,
difícil
de
contrarrestar.
Imagen
|
Wikimedia
+
IA
