La Agencia Española de Protección de Datos (AEPD) registró en 2024 un notable incremento en las notificaciones de brechas de seguridad, alcanzando un total de 2.933, un aumento del 46,27% respecto al año anterior, cuando se notificaron 2.005 incidentes. Este incremento refleja tanto un crecimiento en la concienciación de las organizaciones sobre la importancia de cumplir con el Reglamento General de Protección de Datos (RGPD) como una preocupante intensificación de los ciberincidentes.
La evolución mensual de las notificaciones muestra picos relevantes, con mayo como el mes de mayor actividad, alcanzando 462 notificaciones. Este incremento coincide con las campañas intensivas de ciberataques y con posibles lapsos en la seguridad durante la implementación de nuevas medidas tecnológicas por parte de las organizaciones.
A nivel regional, la Comunidad de Madrid lideró el ranking de notificaciones, con un total de 56, seguida de Cataluña (33) y la Comunidad Valenciana (14). En el extremo opuesto, comunidades como La Rioja, Ceuta y Melilla no registraron notificaciones durante este periodo.
Las brechas transfronterizas también tuvieron un papel destacado, con 15 notificaciones que afectaron a ciudadanos de otros Estados Miembro de la Unión Europea. Alemania, Francia y Países Bajos fueron los países más afectados por estas incidencias.
Otros datos relevantes del informe
El informe emitido por la División de Innovación Tecnológica de la AEPD destaca aspectos relevantes sobre el tipo de notificaciones, el origen de las brechas y su impacto en los afectados. Entre los datos más destacados se encuentran:
- Origen de las brechas: El 95% de las notificaciones se recibieron mediante el formulario de la sede electrónica.
- Tipos de organizaciones afectadas: Las empresas privadas reportaron el mayor volumen de incidentes, con 119 notificaciones, mientras que las entidades públicas sumaron 36.
- Tipo de brechas: La mayoría de las brechas notificadas estuvieron relacionadas con problemas de confidencialidad (139 casos), seguidas por incidentes de disponibilidad (31 casos) e integridad (5 casos).
- Ciberincidentes relevantes: Entre las causas principales destacaron los ataques de acceso no autorizado a sistemas de información (46 notificaciones) y los incidentes de suplantación de identidad (25 casos).
Rol del Delegado de Protección de Datos
La figura del Delegado de Protección de Datos (DPD) es clave en la gestión y notificación de brechas. Según el RGPD, este profesional debe actuar como punto de contacto con las autoridades de control y garantizar que las organizaciones cumplan con los artículos 33 y 34 del reglamento.
En 2024, las notificaciones resaltaron que 39 casos no fueron comunicados a los afectados, un dato preocupante que podría estar relacionado con la falta de criterios claros o recursos en algunas entidades para gestionar adecuadamente estos incidentes. En contraste, 46 notificaciones indicaron que se comunicarán las brechas a casi un millón de personas.
Impacto en los ciudadanos y retos
En cuanto al impacto en los ciudadanos, los incidentes notificaron un total de 100.103.000 personas informadas o que serán informadas, una cifra que triplica los valores de 2023. Esto refleja no solo un aumento en el número de brechas, sino también una mayor afectación en términos de escala.
En relación con nivel de las brechas en cuanto a su impacto, el informe muestra que 109 brechas fueron consideradas de bajo nivel, solo 2 fueron clasificadas como de alto nivel y ninguna notificación alcanzó el nivel de muy alto nivel lo que podría indicar una mejora en los sistemas de contención y mitigación de los incidentes.
El aumento en las notificaciones refleja una mayor transparencia, pero también pone de manifiesto retos significativos:
- Ciberseguridad en pymes y entidades públicas: Las pequeñas organizaciones y las administraciones locales continúan siendo vulnerables, especialmente en la gestión de ataques malintencionados.
- Formación y concienciación: La divulgación de buenas prácticas y el entrenamiento del personal son fundamentales para prevenir errores humanos, responsables de una parte significativa de las brechas accidentales.
- Cooperación internacional: Las brechas transfronterizas requieren un enfoque coordinado para garantizar que las medidas tomadas sean efectivas en múltiples jurisdicciones.