Atención pymes: llega el ciberchantaje por incumplir RGPD
Hace unos meses escribíamos acerca de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Las sanciones por incumplimiento pueden alcanzar los 20 millones de dólares o el 4% de la facturación global de la compañía. Y la realidad es que, todavía a día de hoy, un porcentaje muy elevado de las empresas no se ha adaptado al reglamento, tanto en España como en el resto de Europa.
Un reciente informe elaborado a partir de encuestas a 600 profesionales de las Tecnologías de la Información (TI) y el Derecho de Reino Unido, EEUU y la Unión Europea revela que tan sólo el 20% de las organizaciones cree que cumple con RGPD. Asimismo, algo más de la mitad se encuentra en la fase de implantación de las medidas para adaptarse y cerca de un tercio ni siquiera ha iniciado los trabajos para hacerlo.
Así las cosas, los ciberdelincuentes han encontrado un filón para seguir lucrándose. Su método consistiría en detectar a las compañías infractoras y chantajearlas a cambio de no destaparlo, exigiendo grandes sumas de dinero que, sin embargo, no serían tan cuantiosas como si les fuera impuesta una sanción.
A fin de cuentas, la extorsión se ha convertido en un negocio para los ciberdelincuentes mucho más lucrativo y que requiere menos esfuerzo que otros delitos. El 72% de los responsables de Información, según una encuesta de Logicalis, está convencido de que el chantaje y el secuestro de sistemas (ransomware) son los mayores riesgos a los que se enfrentan ahora mismo las compañías.
El modo de proceder sería penetrar la seguridad de la organización a través de una brecha y, o bien robar datos como prueba de la vulnerabilidad y amenazar con ponerlo en conocimiento de las autoridades o, incluso y con objeto de no verse involucrados, que la amenaza consista en subir los datos a internet para que cualquier pueda acceder a ellos.
Expertos en seguridad, como el fabricante de seguridad Trend Micro, señalan que el objetivo prioritario de estos ciberdelincuentes no serán las grandes organizaciones, sino más bien las pymes, que si no quieren ver cómo se les impone una sanción millonaria, habrán de pagar una suma a través de criptomonedas.
La trampa es doble e implica un nuevo incumplimiento, dado que RGDP obliga a comunicar a las autoridades cualquier brecha de seguridad que comprometa los datos personales en un plazo máximo de 72 horas. Sin embargo, ¿cómo hacerlo si ello implicaría reconocer que no se está al día con el RGPD?
La amenaza es real y, además, puede verse reforzada con un elemento adicional: Al temor de una sanción por incumplimiento podría sumarse, además, una demanda colectiva de l@s usuari@s afectados con indemnizaciones millonarias, puesto que el reglamento contempla el derecho a la compensación cuando los datos de una persona se ven comprometidos.
La mala noticia para los ciberdelincuentes es que, hasta la fecha, no se ha hecho pública ninguna sanción millonaria por incumplimiento del RGPD, a pesar de que éstos son muy numerosos. Hay ejemplos reales ya: No se ha multado a Telefónica tras la brecha de seguridad que tuvo el mes pasado, denunciada por FACUA antes la Agencia Española de Protección de Datos (AEPD), que afectó, según la propia compañía, a los datos personales de un centenar de clientes, aproximadamente.
Un reciente informe elaborado a partir de encuestas a 600 profesionales de las Tecnologías de la Información (TI) y el Derecho de Reino Unido, EEUU y la Unión Europea revela que tan sólo el 20% de las organizaciones cree que cumple con RGPD. Asimismo, algo más de la mitad se encuentra en la fase de implantación de las medidas para adaptarse y cerca de un tercio ni siquiera ha iniciado los trabajos para hacerlo.
Así las cosas, los ciberdelincuentes han encontrado un filón para seguir lucrándose. Su método consistiría en detectar a las compañías infractoras y chantajearlas a cambio de no destaparlo, exigiendo grandes sumas de dinero que, sin embargo, no serían tan cuantiosas como si les fuera impuesta una sanción.
A fin de cuentas, la extorsión se ha convertido en un negocio para los ciberdelincuentes mucho más lucrativo y que requiere menos esfuerzo que otros delitos. El 72% de los responsables de Información, según una encuesta de Logicalis, está convencido de que el chantaje y el secuestro de sistemas (ransomware) son los mayores riesgos a los que se enfrentan ahora mismo las compañías.
El modo de proceder sería penetrar la seguridad de la organización a través de una brecha y, o bien robar datos como prueba de la vulnerabilidad y amenazar con ponerlo en conocimiento de las autoridades o, incluso y con objeto de no verse involucrados, que la amenaza consista en subir los datos a internet para que cualquier pueda acceder a ellos.
Expertos en seguridad, como el fabricante de seguridad Trend Micro, señalan que el objetivo prioritario de estos ciberdelincuentes no serán las grandes organizaciones, sino más bien las pymes, que si no quieren ver cómo se les impone una sanción millonaria, habrán de pagar una suma a través de criptomonedas.
La trampa es doble e implica un nuevo incumplimiento, dado que RGDP obliga a comunicar a las autoridades cualquier brecha de seguridad que comprometa los datos personales en un plazo máximo de 72 horas. Sin embargo, ¿cómo hacerlo si ello implicaría reconocer que no se está al día con el RGPD?
La amenaza es real y, además, puede verse reforzada con un elemento adicional: Al temor de una sanción por incumplimiento podría sumarse, además, una demanda colectiva de l@s usuari@s afectados con indemnizaciones millonarias, puesto que el reglamento contempla el derecho a la compensación cuando los datos de una persona se ven comprometidos.
La mala noticia para los ciberdelincuentes es que, hasta la fecha, no se ha hecho pública ninguna sanción millonaria por incumplimiento del RGPD, a pesar de que éstos son muy numerosos. Hay ejemplos reales ya: No se ha multado a Telefónica tras la brecha de seguridad que tuvo el mes pasado, denunciada por FACUA antes la Agencia Española de Protección de Datos (AEPD), que afectó, según la propia compañía, a los datos personales de un centenar de clientes, aproximadamente.
Sin comentarios