Cuando una empresa sufre un ciberataque, los datos personales de los clientes se pueden ver comprometidos. Organismos y compañías como Air Europa o la Dirección General de Tráfico (DGT) han sido víctimas de estos problemas. Los atacantes pueden filtrar los datos de los usuarios o, incluso, acabar vendiéndolos en el mercado negro.
El impacto en nuestra seguridad dependerá de qué datos se hayan visto expuestos. Los ataques de phishing personalizados o la suplantación de identidad son sólo algunos de los riesgos a los que se enfrentan los usuarios. En este artículo, te contamos qué puedes hacer para tratar de reducir el impacto negativo y cómo puedes reclamar si te has visto afectado por una filtración de datos.
Averigua qué datos se han visto expuestos
El Instituto Nacional de Ciberseguridad (INCIBE) explica que cuando una filtración de datos se hace pública es habitual que también se conozca el tipo de datos que se han visto comprometidos, “bien porque los atacantes lo han dado a conocer o porque la propia empresa atacada haya realizado un comunicado oficial”. Recordemos que, de acuerdo al artículo 34 del Reglamento General de Protección de Datos (RGPD), las empresas están obligadas a comunicar a los clientes que sus datos han sido expuestos si la filtración afecta a “los derechos y libertades” de los usuarios.
Sea como sea, por seguridad, el INCIBE recomienda que consideremos comprometido cualquier dato que hayamos podido compartir con la empresa afectada. La Agencia Española de Protección de Datos (AEPD) también aconseja “valorar el alcance o las posibilidades de que esa información abra las puertas a otras informaciones sobre tu persona”. Por ejemplo, si utilizamos el mismo correo y contraseña para varios servicios (algo que no debemos hacer) y estos datos se filtran, los ciberdelincuentes podrían tener acceso a todas esas cuentas.
Además, la herramienta Have I Been Pwned nos podría ayudar a saber si un servicio que solemos utilizar ha tenido un problema de seguridad. Esta web nos permite comprobar, introduciendo nuestro email, si alguna de las cuentas vinculadas a esa dirección ha sufrido una filtración de datos.
Medidas para reducir el impacto: cambia contraseñas, habla con el banco y haz ‘egosurfing’
Una vez los ciberdelincuentes han accedido a nuestros datos, no hay nada que podamos hacer para evitar que los filtren o los pongan a la venta en el mercado negro, pero sí hay una serie de recomendaciones que podemos seguir para tratar de reducir el impacto, que dependerán de la información que se haya visto comprometida.
Si se han filtrado nuestras contraseñas, es fundamental que las cambiemos y actualicemos. Debemos hacer ese cambio tanto en el servicio que ha sufrido el ataque como en otros donde utilicemos la misma clave o una similar. También es recomendable empezar a utilizar un gestor de contraseñas para evitar usar siempre las mismas. Además, como medida preventiva, el organismo recomienda utilizar correos electrónicos alternativos o números de teléfono temporales para darnos de alta en servicios que sólo vamos a utilizar de forma puntual, siempre que sea posible.
Si han robado datos como nuestro nombre, apellidos, dirección o DNI, podemos practicar egosurfing —una práctica que consiste en buscarnos a nosotros mismos en internet— para ver si encontramos perfiles falsos que utilicen nuestro nombre o alguna actividad sospechosa. Si encontramos algo indebido, podemos reclamar ante la AEPD.
Si se han visto comprometidos nuestros datos bancarios, debemos notificarlo al banco cuanto antes para evaluar el riesgo y tomar las medidas necesarias, como “anular la tarjeta bancaria e identificar posibles actividades sospechosas”, apunta el organismo.
“En las siguientes semanas y meses tras la brecha de seguridad, debemos mantenernos alerta ante posibles intentos de fraude que se puedan generar con los datos filtrados”, indican desde el INCIBE a Maldita.es. Por ejemplo, correos electrónicos, SMS o llamadas telefónicas en las que se nos soliciten claves o datos personales, o movimientos bancarios extraños. En caso de duda, recuerda que puedes preguntar a la propia compañía o contactar con el INCIBE a través de su línea de ayuda en ciberseguridad, el 017. La Organización de Consumidores y Usuarios (OCU) también aconseja estar atentos a llamadas, correos electrónicos o SMS inesperados que puedan ser fraudulentos.
Si te hacen un cargo en la cuenta, denuncia y reclama a tu entidad bancaria
Si notas un movimiento extraño en tu cuenta, recopila las evidencias y denuncia ante la Policía Nacional o la Guardia Civil. También debes reclamar al banco la restitución del dinero puesto que se trata de un “movimiento no autorizado”, según aseguraron desde la Asociación para la Defensa de Consumidores y Usuarios de Bancos, Cajas y Seguros (ADICAE) a Maldita.es. Para ello, deberemos aportar la denuncia presentada previamente.
El artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera establece que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato”.
Lo mismo señalan desde la OCU: “Cualquier posible cargo que, por ejemplo, tras un ataque a un banco o una empresa realizaran en tu cuenta, no ha sido autorizado y deben reembolsarlo”.
Toma acciones legales si es necesario
También podemos interponer una reclamación ante la AEPD por “considerar que la empresa no ha actuado con la debida diligencia”, según señala el INCIBE. Como ya contamos en Maldita.es, dicha denuncia puede desencadenar en una sanción administrativa para la entidad, por lo que la multa sería abonada a la Administración del Estado.
Ahora bien, en el caso de que la AEPD proceda a dicha sanción, el usuario estará “legitimado a reclamar mediante demanda por la vía civil la correspondiente indemnización por daños y perjuicios, siempre que se pruebe que el daño producido es consecuencia de una mala praxis por parte de la organización”, afirma el INCIBE. Es decir, que podríamos denunciar ante tribunal e ir a un juicio para pedir una compensación. Susana González, abogada tecnológica y de ciberseguridad en Ecija, explicaba a Maldita.es que para ello “es necesario probar la relación causa efecto entre la falta de diligencia de la empresa, el ataque y el perjuicio real y económicamente cuantificado que se reclame".
Maldito Timo cuenta con el apoyo de:
*Este artículo se ha actualizado el 14/06/2024 para incluir la respuesta del INCIBE.
