18.000 € de multa tras un ataque de ransomware que afectó a empleados y exempleados
¿Qué ocurrió en la brecha de seguridad?
La Agencia Española de Protección de Datos ha sancionado con 18.000 euros a una empresa del sector de las telecomunicaciones tras una grave brecha de seguridad que comprometió datos personales de empleados y exempleados de distintas sociedades vinculadas a su actividad. El incidente, ocurrido en septiembre de 2023, se produjo tras un ataque de ransomware que cifró los sistemas corporativos y permitió la exfiltración de información sensible.
Responsabilidad de la empresa y relación con otras sociedades
En un primer momento, se informó a la AEPD de que se trataba de un grupo empresarial integrado por varias sociedades. Sin embargo, la compañía principal rectificó posteriormente esa descripción, precisando que en realidad existía un contrato de prestación de servicios entre ella y el resto de las entidades afectadas. Esta circunstancia tuvo un peso importante a la hora de valorar la responsabilidad en el expediente, puesto que determinó que la compañía sancionada actuaba tanto como responsable respecto a sus propios empleados como encargada del tratamiento en relación con los trabajadores de las demás sociedades.
Datos comprometidos y fallos graves de seguridad
Los datos comprometidos incluían nombre, apellidos, dirección, teléfono, correo electrónico, número de documento identificativo e incluso, en algunos casos, información financiera contenida en nóminas. La investigación reveló deficiencias graves en la seguridad de los sistemas: se mantenía activo un usuario genérico de VPN con credenciales desactualizadas, no existían límites en los intentos de autenticación, el controlador de dominio funcionaba sobre un equipo obsoleto y no se disponía de mecanismos de autenticación reforzada en los accesos remotos. Estas carencias facilitaron la intrusión y pusieron de manifiesto la falta de medidas técnicas y organizativas adecuadas para proteger los datos personales frente a accesos no autorizados.
Infracción del RGPD y sanción aplicada
La Agencia concluyó que se había vulnerado el principio de integridad y confidencialidad recogido en el artículo 5.1.f del RGPD, tanto en los tratamientos realizados como responsable como en aquellos en los que la compañía actuaba como encargada. La sanción inicial ascendía a 30.000 euros, pero el importe se redujo a 18.000 euros al reconocerse la responsabilidad y efectuarse el pago voluntario anticipado.
Lecciones para garantizar la protección de datos personales
La resolución refleja que no basta con contar con contratos de encargo de tratamiento o cláusulas de seguridad sobre el papel, sino que resulta esencial garantizar que las medidas comprometidas se aplican de forma real y efectiva. La protección de la información exige inversiones en sistemas actualizados, controles de acceso sólidos y planes de respuesta ante incidentes, así como una cultura organizativa en la que la seguridad de los datos personales forme parte de la estrategia corporativa.
