El 6 de agosto de 2024, Radio Televisión Española (RTVE) fue víctima de un grave brecha de datos de seguridad que ha generado preocupación tanto en la institución como entre los miles de opositores que participaron en sus recientes procesos de selección. La brecha de datos, que afectó a la plataforma de oposiciones gestionada por la empresa CEGOS, ha comprometido la seguridad de información sensible, incluyendo datos personales de los aspirantes.
Así ocurrió la brecha de datos de RTVE
La brecha de seguridad fue detectada por RTVE el pasado martes, 6 de agosto. La Corporación descubrió que en la plataforma de oposiciones, bajo la gestión de CEGOS, se había producido una descarga no autorizada de documentación. Este acceso ilegal comprometió, en algunos casos, datos personales de los participantes en los procesos de selección de personal.
La naturaleza exacta de la brecha aún no se ha detallado públicamente, pero lo que sí se ha confirmado es que la descarga no autorizada puso en riesgo la privacidad de los datos personales almacenados en la plataforma. Ante la gravedad de la situación, RTVE actuó de inmediato, bloqueando el acceso a la plataforma y restaurando el servicio solo después de haber implementado medidas de seguridad adicionales para prevenir futuros incidentes.
Medidas inmediatas: investigación y denuncia
Tras detectar el incidente, RTVE procedió a denunciar los hechos ante la Policía, iniciando un proceso de investigación para determinar cómo se produjo la brecha y quiénes son los responsables. Además, la Corporación informó a la Agencia Española de Protección de Datos (AEPD) y al Instituto Nacional de Ciberseguridad (INCIBE), cumpliendo así con las normativas vigentes en cuanto a la gestión de incidentes de seguridad que comprometen datos personales.
La plataforma de oposiciones de RTVE, gestionada por CEGOS, cuenta con certificaciones de seguridad como la Norma ISO 27001, que garantiza la confidencialidad, integridad y disponibilidad de la información. Sin embargo, este incidente pone en tela de juicio la eficacia de las medidas de seguridad implementadas, y ha llevado a RTVE a solicitar una auditoría exhaustiva a CEGOS para esclarecer las responsabilidades y las posibles vulnerabilidades que pudieron ser explotadas.
Reacciones de RTVE
RTVE ha dejado claro su compromiso con la protección de los datos personales de los opositores, y ha asegurado que se tomarán todas las medidas necesarias para garantizar que un incidente de este tipo no vuelva a ocurrir. La Corporación ha manifestado su intención de desarrollar una plataforma propia para la gestión de futuros procesos de selección, disminuyendo así la dependencia de terceros y aumentando el control sobre la seguridad de los datos.
En cuanto se tenga toda la información requerida por parte de CEGOS, RTVE notificará oficialmente a todos los afectados por la brecha, conforme a lo estipulado por la legislación vigente en materia de protección de datos. Además, la Corporación se reserva el derecho de tomar acciones legales adicionales si se determina que hubo negligencia por parte del gestor de la plataforma.
Implicaciones legales y de seguridad
La certificación ISO 27001, aunque es un estándar reconocido internacionalmente, no garantiza la infalibilidad de los sistemas, lo que refuerza la necesidad de una vigilancia constante y de la actualización de las medidas de seguridad conforme evolucionan las amenazas cibernéticas.
La apertura de una investigación por parte de la Policía y la auditoría solicitada a CEGOS podrían derivar en sanciones significativas si se demuestra que hubo fallos en la protección de los datos de los usuarios aspirantes al proceso de oposición. Asimismo, la AEPD podría imponer multas considerables a las entidades responsables si se concluye que no se cumplieron con las obligaciones legales establecidas en el Reglamento General de Protección de Datos (RGPD) que esta en vigor.