Cada cierto tiempo nos despertamos con la noticia de que, tras un ciberataque, se han filtrado los datos personales de miles o incluso millones de personas. La última, la semana pasada, cuando se conoció la filtración de los datos de más de un millón de clientes de una empresa de telefonía. Los ciberdelincuentes pueden extorsionar a la víctima para que pague a cambio de recuperar sus datos; o pueden vender la información a un tercero, que la utiliza para lanzar ataques de ingeniería social –por ejemplo, haciéndose pasar por tu banco-. ¿Qué podemos hacer si nuestros datos se ven expuestos de esta forma? ¿Existen herramientas para protegernos y para denunciarlo?

“Lo primero es saber el alcance de la filtración”, explica Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo secretario general del Instituto Nacional de Ciberseguridad (INCIBE). Porque no es lo mismo “que se pierda tu nombre de usuario que tu número de tarjeta de crédito o la contraseña del correo electrónico”.

Susana González, mánager de Tecnología, Innovación y Ciberseguridad en Elece Legal, explica que “la gran dificultad radica en conocer el verdadero impacto de la filtración. Lo lógico es que la empresa haga una comunicación de la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) cuando al determinar el alcance conoce que ha habido fuga de datos personales. Sin embargo, muchas veces requiere una investigación de lo que ha  podido ser publicado en la Deep Web que requiere más tiempo de las 72 horas disponibles para comunicar el incidente”. Además, en función de determinados parámetros (tipología de los datos filtrados o número de afectados, entre otros) la empresa también tiene la obligación de comunicar este incidente a los titulares de los datos, lo que implica tener que ampliar la comunicación a la Agencia conforme se va teniendo constancia del impacto real.

Una vez que se conoce qué tipo de información se ha filtrado, podemos tomar las primeras medidas reactivas para evitar que sea utilizada en nuestro perjuicio (cambiar la contraseña o informar a nuestra entidad financiera por si hay movimientos sospechosos).

En cuanto a las posibles reclamaciones, González ve un escenario complicado para el usuario. La normativa prevé el derecho a reclamar indemnización por daños y perjuicios cuando los derechos de protección de datos han sido vulnerados. En el caso de una brecha de seguridad que afecte a datos personales, deben cumplirse los requisitos establecidos por la guía de la AEPD para comunicar el incidente a los interesados y la empresa no hacerlo; o debe basarse en que la empresa no tenga las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos que trata conforme a su nivel de riesgo o evaluación de impacto en los tratamientos de datos.

Pérez Bes diferencia dos escenarios: si la empresa es española, está sujeta a los mecanismos de protección nacionales y, en principio, “podríamos reclamar contra esta compañía por no haber sido diligentes a la hora de proteger nuestra información”, sobre todo si se filtra información personal confidencial o se utiliza para hacer algún tipo de daño. Aunque se trata de “procedimientos lentos y complicados”, lo que dificulta que el consumidor quiera denunciar. Si la filtración se produce en una empresa extranjera “estamos un poco más desamparados”. Y añade que “en Europa se está hablando de la posibilidad de presentar demandas colectivas contra compañías que sufren ciberataques” por no haber custodiado correctamente tus datos.

Dado que es prácticamente imposible evitar totalmente el robo y la filtración de datos, ambos expertos coinciden en la importancia de tomar medidas preventivas para minimizar los daños. En primer lugar, como subraya Francisco Pérez Bes, debemos “ser conscientes del valor y la importancia que tienen los datos”, porque si se pierde o alguien accede a ellos, “el impacto puede ser grande”. Y hay que saber cómo funciona el ecosistema digital, los riesgos que existen y conocer los canales que tiene la ciudadanía para informarse o denunciar. Respecto a medidas concretas, cita el doble factor de autenticación en las cuentas o hacer copias copia de seguridad del correo electrónico o del móvil. Porque al final, subraya, “se trata de proteger la información de la misma manera que estoy protegiendo otros activos físicos tangibles”.

Susana González recuerda otros puntos sencillos que a veces olvidamos: dar la menor cantidad de datos posibles al menor número de empresas y aplicaciones; borrar todo aquello que no utilicemos (solicitando la supresión de nuestros datos, porque no es suficiente con desinstalar la aplicación o darnos de baja de la newsletter, por ejemplo); y cambiar las contraseñas que vienen por defecto en la red wifi y router de casa, especialmente si nos conectamos desde casa a la infraestructura de red de la empresa, porque los ciberdelincuentes pueden “esnifar” el  tráfico de la red wifi y acceder a la información de la empresa a través de nuestra conexión VPN.

Al final, como indica Pérez Bes, en este ámbito hay que poner “un poco de sentido común”, y saber que en el escenario digital en el que nos movemos las posibilidades de fraude son distintas y mayores. En la teoría estamos bien protegidos. En la práctica no tanto. Y es que “aun cumpliendo las obligaciones nos pueden atacar y nos pueden robar datos”, porque “la seguridad 100% no existe”, subraya González.