El Consejo de Transparencia y Protección de Datos de Andalucía ha registrado un total de 111 brechas de seguridad en instituciones y organismos públicos de la Comunidad desde 2019 y hasta marzo de 2023, perteneciendo el 60% de ellas a la Administración Local, el 36% a la Administración autonómica, y el 4% restante, a la Universidad y otras entidades.

Por provincias, Sevilla concentró el 39% de las brechas contabilizadas con un total de 43; seguida de Málaga, con el 26% (29) y Cádiz, con el 16% (18). Continuaron Huelva (7), Granada (6), Córdoba (4) y Almería (3), quedando Jaén sólo con una.

En relación a la severidad de la brecha (las consecuencias para los posibles afectados), el 65% tuvo severidad baja, es decir, las personas no se vieron afectadas o sólo encontraron algunos inconvenientes que superaron sin grandes problemas, como por ejemplo el tiempo de reingreso de información.

En segundo lugar, el 24% fue catalogado como severidad media, por lo que los afectados pudieron encontrar inconvenientes importantes, que solventaron a pesar de algunas dificultades, como costos adicionales o denegación de acceso a servicios. Las brechas de severidad alta alcanzaron el 11% del total y los afectados se enfrentaron a consecuencias importantes, que finalmente se sortearon aunque con serias dificultades.

Analizando su tipología (confidencialidad, integridad y disponibilidad) y teniendo en cuenta que una misma brecha puede pertenecer a más de una categoría, 107 se clasificaron como brecha de confidencialidad, esto es, se produjeron cuando personas que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, accedieron a ella.

De otro lado, 32 fueron brechas de disponibilidad, cuya su consecuencia fue la falta de acceso a los datos originales cuando fue necesario. Y 15 se consideraron brechas de integridad, cuando se alteró la información original y la sustitución de datos pudo ser perjudicial para el individuo.

Causas más frecuentes

La causa que más brechas causó fue el ciberincidente (‘hacking’, ‘malware’ o ‘phising’) con un 45% del total. Se trata de un incidente generado por un actor externo a la organización cuyo objetivo es obtener un beneficio ilícito mediante el daño causado. Las consecuencias de estos ataques pueden conllevar el acceso a información, su exfiltración (transferir información de manera no autorizada desde un sistema informático a un lugar externo) y el cifrado ilícito de la misma para impedir su uso. En particular, destaca el número y el impacto de los ataques mediante llamados ‘ransomware’, ya que además de las consecuencias mencionadas, suele provocar interrupción de los servicios durante periodos de tiempo considerables.

Los ataques de ‘ransomware’ vienen en muchos casos precedidos de ataques de ‘phising’ (intento de hacerse pasar por una persona o entidad de confianza para que la víctima realice alguna acción que no debería realizar) mediante correo electrónico cuyo objetivo es el robo de credenciales de acceso a equipos como paso previo a los mismos.

El segundo incidente más común (13%) se debe mayoritariamente al robo de dispositivos, que se produce en multitud de circunstancias y ubicaciones, siendo menores los casos de pérdida. Destacan los portátiles que solían contener importantes cantidades de datos personales relacionados con la labor profesional de las personas usuarias. También se han producido robos o pérdida de documentación en papel con datos personales de categorías especiales y de memorias de almacenamiento (pen-drive).

La tercera causa fue los datos enviados o mostrados por error (12%). Se trata de un tipo de incidente causado por errores humanos, habitualmente empleando herramientas de correo electrónico en los que se envía información a destinatarios incorrectos. Son numerosos los casos en los que se emplean listas de distribución que contienen un elevado número de direcciones de correo electrónico, ya que un único error (basta con incluir la dirección de la lista) es suficiente para comunicar los datos a un elevado número de personas.

El cuarto incidente más representativo (9%) se produce cuando se publican en algún medio o se comunican datos personales de forma indebida y extensa. Puede entenderse como una generalización del caso anterior. En la mayoría de los casos se trata de errores humanos (por ejemplo, publicar el DNI completo en un boletín oficial o listar datos identificativos completos de los participantes de procesos selectivos) o errores técnicos (la configuración errónea de una aplicación permite acceder a información de otros clientes, pacientes, estudiantes, otros empleados, etc.).

El papel del Consejo

El Reglamento General de Protección de Datos (RGPD) establece la obligación a los responsables del tratamiento de datos personales a notificar a la autoridad de control competente (el Consejo, en este caso) en caso de que se produzca una brecha de seguridad en un plazo de 72 horas.

Cuando el Consejo recibe una notificación, realiza una valoración inicial de la brecha y evalúa su impacto potencial, considerando la información proporcionada. Si esta información es insuficiente, se solicita al organismo que aporte más detalles. Si los motivos para no comunicar una brecha a los afectados no están debidamente justificados, el Consejo requerirá al organismo un análisis al respecto. En casos de alto riesgo detectados, se emite un requerimiento para que el responsable informe a los afectados. Asimismo, se evalúan las medidas tomadas por el responsable para mitigar el impacto de la brecha. Si se considera que estas son insuficientes, se solicitan medidas correctivas específicas al responsable.

Una vez se cuenta con toda la información, el proceso finaliza con una valoración definitiva de la brecha. Generalmente, el expediente se archiva y se envía un conjunto de recomendaciones de mejora al organismo para abordar la causa raíz de la brecha y prevenir incidentes futuros. En caso de detectarse graves incumplimientos en la gestión de la brecha o en las medidas previas obligatorias, se podría iniciar un procedimiento sancionador de oficio.

La importancia del DPD

La existencia de la obligada figura del DPD en todos los organismos e instituciones públicas es fundamental para reducir el riesgo de que se produzcan brechas de seguridad. Esta figura debe cumplir una serie de requisitos, entre las que destacan disponer de conocimientos en materia de protección de datos, así como de los procesos de la organización en la que presta servicio; contar con independencia en sus actuaciones como DPD, con interlocución al más alto nivel jerárquico del responsable de tratamiento donde preste sus servicios y sin presentar conflictos de intereses que influyan en su función como DPD; contar con los recursos humanos, económicos y formativos suficientes para el desempeño de sus funciones en un adecuado régimen de dedicación; disponer, en el ejercicio de sus funciones, de acceso a los datos personales y procesos de tratamiento, y ser debidamente publicitado, tanto a nivel interno como a nivel externo a la organización.