Los ciberatacantes han cumplido su amenaza. Tras solicitar un rescate a Phone House, los responsables del ransomware Babuk han filtrado una primera parte con los datos obtenidos. Una hoja de cálculo con los datos de 1.048.575 personas, que es el máximo filas de Excel por archivo y que pertenecen técnicamente a clientes y empleados de Phone House.
Un archivo al que desde Xataka hemos podido acceder y aparece una enorme cantidad de datos personales, tales como el DNI, pasaportes, correos, números de teléfono, fijos, fechas de nacimiento, nacionalidad, direcciones físicas, códigos postales, provincias, ciudades y en muchos casos hasta la tienda donde los clientes de Phone House se registraron.
Cuando ocurre una filtración de este estilo, el procedimiento habitual es que la compañía afectada se ponga en contacto con la Agencia Española de Protección de Datos (AEPD) para que esta inicie una investigación. Aunque por el momento, ni Phone House ni la AEPD se han pronunciado sobre el caso.
Por la enorme cantidad de datos personales cabe preguntarse qué se puede hacer. Tanto por la parte de los usuarios que han visto como se han visto filtrados sus datos hasta por parte de Phone House, quien podría exponerse a una sanción por parte de la AEPD.
Cuando los datos de los usuarios de una empresa se han visto comprometidos, esta tiene la obligación de notificar esta brecha a la AEPD en un plazo de 72 horas. De no hacerlo, la agencia puede iniciar un proceso sancionador. Siendo precisamente la dilación en la comunicación de un ciberataque el motivo más común por el que la AEPD sanciona a una empresa.
Lamentablemente, el de Phone House no es el primer caso que vemos donde se han publicado una gran cantidad de datos. En 2018, unos ciberdelincuentes robaron los datos de miles de clientes de Air Europa. En marzo de este 2021, la AEPD multó a la compañía con 600.000 euros. Si bien, desde la AEPD explican a Xataka que únicamente el 10% de los ataques son investigados y solo a unos pocos finalmente se les sanciona.
En el caso de Phone House, la compañía ha actuado según las indicaciones de los expertos al no pagar el rescate, pero el siguiente paso debería ser ponerse en contacto con la AEPD, si no lo ha hecho ya. Para ello, la agencia dispone de una herramienta Comunicación-Brecha-RGPD específicamente creada para esto.
De iniciarse una investigación, la AEPD pedirá a Phone House demostrar que la compañía disponía de todas las medidas de prevención adecuadas para evitar la brecha.
En caso de confirmarse la brecha, Phone House debería informar a la AEPD y a todos los usuarios afectados.
Según el RGPD, Phone House debería notificar a todos los usuarios afectados, sea vía correo, telefónicamente o a través de otro canal.
No hay un plazo concreto y no está claro qué información podría dar la compañía, pues al no tratarse de contraseñas, no se trata de dar el mensaje de cambiar esta información. Sí podrían avisar a los usuarios afectados que estén alerta frente a ataques de phishing dirigidos, pues posibles ciberatacantes podrían aprovechar estos datos para perfilar mejor futuros ataques contra estos usuarios.
Los usuarios afectados que quieran presentar una reclamación pueden hacerlo por dos vías. A la propia AEPD por una vulneración de sus derechos de protección de datos o por la vía civil, en caso que se considere que ha habido un perjuicio por esa filtración y se desee solicitar una indemnización.
"La AEPD solo puede sancionar, no puede gestionar indemnizaciones", explica Sergio Carrasco, abogado experto en seguridad. "Tú como cliente has dado permiso para que la empresa gestione tus datos. Ellos tienen la obligación de tener tus datos seguros. Para que hayan podido acceder de manera masiva a todos estos datos, ellos tienen que haber tenido algún problema con su protocolo de seguridad, más allá que haya habido alguna vulnerabilidad".
La agencia examinará el caso concreto y decidirá, con un estudio previo, si estima el inicio o no de las acciones judiciales dirigidas para la compensación del daño. En estos casos, antes de iniciar la reclamación se recomienda verificar y comprobar qué datos se han filtrado.
En lo relativo a si podemos pedir que se eliminen nuestros datos de la red, Carrasco explica que "un juez puede obligar a un prestador de servicios a que retire la información. Si bien, en un dominio .onion puede ser más difícil. Un prestador normal lo eliminará seguro".
| Cómo saber si tus datos están entre las 533 millones de cuentas filtradas de Facebook
.