La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 1.090.000 euros a Cecotec Innovaciones S.L.U. tras constatar múltiples incumplimientos del Reglamento General de Protección de Datos (RGPD) en la gestión de una brecha de seguridad tras un ciberataque que podría haber afectado a cientos de miles de registros.

El caso, que se remonta a abril de 2023, pone de manifiesto un patrón cada vez más habitual en el ecosistema de la ciberseguridad empresarial: el fallo no radica únicamente en el ataque, sino en la falta de prevención, control y respuesta adecuada por parte de la organización.

Una alerta ignorada y una investigación tardía

El incidente se inicia cuando el INCIBE detecta la publicación en un foro de la dark web de una base de datos que supuestamente pertenecía a Cecotec. El 5 de abril de 2023, el organismo traslada una primera alerta a la compañía, acompañada de una muestra de registros que el actor malicioso utilizaba como prueba.

Sin embargo, la empresa no actuó de inmediato. No fue hasta el 12 de abril, tras una segunda notificación, cuando se tomó en consideración la advertencia, iniciándose finalmente la investigación interna el día 13. Para entonces, ya se había confirmado la existencia de datos reales entre los registros filtrados, lo que evidenciaba que la amenaza no era meramente teórica.

A pesar de ello, Cecotec mantuvo una postura de escepticismo respecto a la veracidad del ataque, lo que retrasó la activación de protocolos internos y la adopción de medidas urgentes.

El origen del problema: una plataforma “cerrada” pero operativa

Uno de los elementos más críticos identificados por la AEPD es la existencia de una antigua plataforma de comercio electrónico, basada en software desactualizado, que había sido sustituida en 2021, pero que continuaba operativa de forma parcial.

Aunque la empresa la consideraba “cerrada”, la realidad es que: seguía siendo accesible desde Internet, permitía el acceso a datos de clientes, no contaba con medidas de seguridad actualizadas y presentaba vulnerabilidades conocidas.

Además, los datos almacenados —incluyendo nombres, direcciones, teléfonos y documentos identificativos— no estaban cifrados, lo que incrementaba significativamente el impacto potencial de cualquier acceso no autorizado.

Para la AEPD, este escenario constituye una vulneración directa del: Artículo 5.1.f RGPD (confidencialidad e integridad) y Artículo 32 RGPD (seguridad del tratamiento).

En términos técnicos, la compañía mantenía una superficie de ataque innecesaria, asociada a un sistema legacy que no cumplía con los estándares mínimos de seguridad.

Falta de trazabilidad y control interno

La investigación también revela carencias graves en la capacidad de la empresa para analizar el incidente: logs insuficientes o desactivados, ausencia de sistemas de monitorización continua, imposibilidad de determinar el vector de ataque y falta de control estructurado sobre accesos y permisos.

En algunos casos, incluso se reconoce que determinados registros de actividad habían sido deshabilitados por motivos de rendimiento, lo que compromete la capacidad de detección y respuesta ante incidentes.

Este tipo de deficiencias reflejan una madurez baja en ciberseguridad, especialmente crítica en organizaciones que gestionan grandes volúmenes de datos personales.

Notificación fuera de plazo y gestión reactiva

Otro de los puntos clave de la sanción es el incumplimiento del artículo 33 del RGPD, que obliga a notificar las brechas de seguridad a la autoridad competente en un plazo máximo de 72 horas.

Aunque Cecotec argumentó que el plazo coincidía con días no laborables, la AEPD considera que: la empresa tuvo conocimiento suficiente del incidente antes y además la respuesta fue tardía e insuficientemente diligente

La notificación no se realizó hasta el 19 de abril, agotando el plazo legal y evidenciando una gestión reactiva en lugar de preventiva.

El error más crítico: no informar a los afectados

Sin embargo, uno de los elementos más relevantes del caso es la no comunicación de la brecha a los usuarios afectados, incumpliendo el artículo 34 del RGPD.

La empresa defendió que solo se habían identificado unos pocos registros reales y no existía certeza sobre la magnitud del ataque

Pero la AEPD rechaza este argumento, subrayando que los datos estaban publicados y a la venta en la dark web, se trataba de datos identificativos sensibles, existía un riesgo claro de fraude o suplantación de identidad

En este contexto, el criterio no debe basarse únicamente en el número de afectados confirmados, sino en el riesgo potencial para los derechos y libertades de las personas.

A día de la resolución, la empresa seguía sin haber informado a cerca de 1.000 afectados, lo que agrava la infracción.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre