Un análisis sobre privacidad y protección de datos en empresas españolas ha detectado brechas de seguridad de datos personales en 3577 páginas web. La investigación, desarrollada por la startup Suments Data, ha analizado 5.000 sitios web de empresas españolas, de las que más de un 70% presentan una “violación de la seguridad de los datos personales” por la comunicación y acceso no autorizados a dichos datos.
La investigación "Metadatos y brechas de datos personales en las empresas" se ha llevado a cabo en una selección de empresas grandes, medianas y pequeñas que incluyen tiendas online, medios de comunicación, escuelas y empresas de servicios. Los resultados, calificados de “aterradores” por la startup, muestran que algunas de estas páginas web están difundiendo datos personales “por miles”, siendo que 300 de las empresas analizadas presentan brechas de datos personales de entre 1.000 y hasta 525.000 filtraciones.
El análisis se ha realizado con la tecnología Verics, una araña web (o robot) que analiza los metadatos presentes en un sitio web y detecta aquellos que presentan datos personales identificables. Algunos ejemplos de los datos personales que se han clasificado como “filtraciones” en la investigación son nombres y apellidos de personas físicas, direcciones de correo electrónico, nombres de usuario, números de teléfono y dígitos de DNI.
Desde Suments Data alertan que la difusión de datos personales identificables puede suponer un incumplimiento del Reglamento General de Protección de Datos (RGPD)
Además, el 20% de las páginas web analizadas (1008) también presenta en sus metadatos datos como coordenadas GPS y direcciones físicas, información que es considerada en la investigación como “datos sensibles” ya que, en asociación con otros datos, pueden suponer un problema de privacidad o seguridad en una empresa.
Desde Suments Data alertan que la difusión (voluntaria o no) de datos personales identificables puede suponer un incumplimiento del Reglamento General de Protección de Datos (RGPD), que en su artículo artículo 4, apartado 12, hace referencia al concepto concepto de “violación de la seguridad de los datos personales”, que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos”.
Javier Moncayo, CEO de Suments Data, apunta que estas malas prácticas en protección de datos también pueden suponer un problema de ciberseguridad, ya que “todos estos datos personales e información confidencial de las empresas publicados en la web sin control son caldo de cultivo para ataques de phising y ransomware”.
Imagen: Resumen del informe de Verics (anonimizado) sobre uno de los sitios web analizados en el estudio
Metadato, ese gran desconocido
Los metadatos, como datos que describen otros datos, son de gran utilidad en el universo digital y están presentes en cualquier archivo o sitio web. De todos los metadatos presentes en una página web (más de 250.000 categorías distintas de meta tags detectadas en el análisis de Verics), sólo un mínimo porcentaje (0.13%) presentan filtraciones de datos personales o información sensible. Aunque el porcentaje es mínimo, desde Suments Data lamentan que “la mayoría de las empresas analizadas caen en ese 0.13% por la mala gestión de los metadatos en su página web, principalmente porque desconocen su uso y sus peligros".
Figura 1: porcentaje de meta tags que presentan filtraciones de datos personales o información sensible (0.13%). Figura 2: De ese 0.13%, distribución según tipo de filtraciones.
“El problema no es del usuario final o de los empresarios, son los Delegados de Protección de datos los que no están haciendo bien su trabajo” - Javier Moncayo - CEO de Suments Data
Una de las principales causas de estas filtraciones de metadatos es que los usuarios suben a la web imágenes o archivos de tipo pdf o word cuyos metadatos contienen datos personales e información sensible, lo que es “una práctica normal incluso en usuarios avanzados”, señala Javier. “El problema no es del usuario final o de los empresarios, son los Delegados de Protección de datos los que no están haciendo bien su trabajo”, apunta Javier Moncayo.
No hay comentarios.