Si algo ha quedado patente durante los últimos años en el ámbito del cibercrimen es que no descansa en ninguna temporada, ni se va de vacaciones. Empresas y usuarios debemos estar igual de alerta que el resto del año. Prueba de ello, es que esta temporada estival ha sido intensa en términos de ciberataques, brechas de datos y sucesos en torno a la ciberseguridad. 

A punto de empezar el “curso escolar”, cabe preguntarse en qué han centrado sus esfuerzos los ciberdelincuentes durante estos últimos meses.

Tan solo en agosto, Twitter recibía un ciberataque que afectaba a más de 5 millones de cuentas debido a un error de seguridad, Dinamarca tuvieron que cerrar todos los supermercados 7Eleven debido a un ataque de ransomware, otro hackeo vaciaba las cuentas de casi ocho mil inversores de la criptodivisa Solana. El mes anterior, el CSIC se quedaba paralizado durante semanas debido a otro ataque de ransomware y se filtraban datos más de 5 millones de clientes y repartidores de Glovo. Entre otros.

Como en otras ocasiones, algunos de los ciberataques más llamativos que han salido a la luz estos meses parecen tener como actor protagonista al ransomware, el cifrado de la información a cambio de un rescate económico. 

Sin embargo, analizando los datos recibidos por la Agencia Española de Protección de Datos (AEPD), se observan menos brechas de seguridad en lo que llevamos de 2022 respecto a 2021. La tipología predominante de los incidentes también ha cambiado

Brechas de seguridad de datos personales en 2022: a la baja (de momento)

En España, la AEPD ha recibido a lo largo de junio y julio 196 notificaciones de brechas de seguridad de datos personales por parte de las entidades, según publica en sus informes mensuales. 

De agosto todavía no hay datos. Como referencia, en 2021 se recibieron ese mes 70 notificaciones. 

A lo largo de todo el año de 2021, la AEPD recibió 1.647 notificaciones. En lo que va de este año (de enero a julio de 2022) ha recibido 836.

Esto supone 187 notificaciones menos que en el mismo periodo de 2021, cuando tuvo que gestionar 1.023 notificaciones. Habrá que esperar a los datos globales del año para observar la tendencia. 

Eso sí, en cuanto al impacto de las brechas de seguridad, destacan las recibidas por la Agencia en mayo y junio. En ambos meses, el informe revela que la brecha de seguridad notificada con un mayor número de afectados se cifraba en 5.900.000, casi 6 millones de personas. Le sigue una brecha en abril con 4.500.000 usuarios afectados.

Quizás por esto, en las recomendaciones destacadas de estos meses la Agencia subraya la relevancia de que los responsables del tratamiento de los datos de las compañías deben comunicar sin dilación una brecha de datos personales a las personas afectadas cuando la brecha pueda suponer un riesgo alto para sus derechos y libertades.

Apuntan que el responsable no debe esperar una orden de la Agencia para llevar a cabo la comunicación a los afectados, ya que esto pone en riesgo a los interesados dilatando la comunicación.

Asimismo, no es válida cualquier tipo de comunicación. Esta debe contener, en un lenguaje sencillo, la descripción de la naturaleza de la brecha, nombre y datos de contacto del delegado de protección de datos, posibles consecuencias para las personas y las medidas adoptadas o propuestas para poner remedio a la brecha y mitigar los efectos.  Algo que se explica asimismo en la Guía para la notificación de brechas de datos personales. 

2022 Comparativa de Brechas de datos notificadas AEPD agencia española proteccion datos 2019 2020 2021 bit life media
Número de notificaciones de brechas de seguridad. Fuente: AEPD. Elaboración: Bit Life Media

Tipología de los ciberataques: aumentan los accesos no autorizados, desbancando al ransomware

Al contrario que los años anteriores, en los que los incidentes debidos al malware o cifrado de la información eran la causa más común, este año se ponen en cabeza los ciberincidentes relacionados con el acceso no autorizado a datos personales en un sistema de información, ya sea corporativo o de un servicio en Internet. En total, se han comunicado por parte de las empresas 237 incidentes con esta causa.

Le siguen los ciberataques relacionados con dispositivo cifrado / secuestro de información (ransomware) con 212 incidentes, seguido del phishing (suplantación de identidad).

Y, ¿durante los próximos meses? Habrá que esperar para hacer un análisis y observar si se trata de una tendencia. Los datos arrojados por la Agencia son representativos, al ser notificaciones realizadas por las compañías y entidades que han sufrido una brecha de datos o han sido víctimas de ciberataques, aunque no es posible saber cuántas no las notifican.

Mónica Valle
https://monicavalle.es
Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre