El ciberataque, denunciado ante la Policía, ocurrió el 16 y 17 de junio.
La plataforma de intercambio de archivos WeTransfer ha informado de un ataque informático sufrido los días 16 y 17 del pasado mes de junio y no puede garantizar que los envíos de 232.000 personas hayan llegado a los usuarios indicados.
WeTransfer reconoce que la fuga de datos se produjo porque "un pirata informático agregó destinatarios a los correos electrónicos del servicio" y los mensajes se enviaron "a direcciones no deseadas". Para usar la plataforma, el usuario simplemente tiene que indicar el correo de las personas a las que quiere entregar los archivos y la web se encarga de distribuirlos. El ataque provocó que, en ese proceso de entrega, los datos llegasen a direcciones no incluidas en esa lista.
El primer signo de alarma fue la demora en el servicio. Los internautas utilizan esta página para mandar con rapidez archivos pesados que, por su gran tamaño, no se pueden enviar a través de las plataformas de correo habituales. Aunque el tiempo varía dependiendo del tamaño del documento, los afectados notaron cómo el proceso se prolongaba durante horas.
Cuando la compañía detectó el problema, cerró la sesión "de todos los usuarios y cambiaron las contraseñas de las cuentas afectadas". Sin embargo, esto solo se pudo hacer con las personas que utilizaron WeTransfer Plus, la versión de pago de la web, ya que en la versión gratuita no es necesario registrarse.
Para contener el hackeo, la plataforma canceló todos los enlaces de descarga de los correos afectados. De esta manera, se cortó el acceso a los posibles piratas pero también a las direcciones incluidas en la lista de destinatarios.
La entidad ya ha denunciado el ataque ante la Policía y ha contratado a una empresa de seguridad para que realice una investigación. "Hemos contactado personalmente con las personas cuyas transferencias hayan podido ser vistas o descargadas para poder hacer un seguimiento", explicaron.
Este mensaje con explicaciones a los afectados es obligatorio, según el Reglamento Europeo de Protección de Datos. "Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas), el responsable debe comunicárselo a los afectados", explican desde la Agencia Española de Protección de Datos (AEPD). Además, el texto tiene que ser lo más transparente posible y tener un lenguaje claro.
La Unión Europea establece en ese reglamento unas pautas de seguridad para casos como este: cuando el responsable descubre una brecha que compromete al cliente "debe notificarlo a su autoridad de control en las 72 horas siguientes a haber tenido constancia de ella", puntualiza la AEPD.
El reglamento entró en vigor el 25 de mayo de 2018, y desde ese día hasta final de año la AEPD recibió un total de 547 notificaciones sobre brechas de seguridad. De todas ellas, 17 implicaban un riesgo alto y tuvieron que remitirse a la Subdirección de Inspección.
.