El Consejo de Transparencia y Protección de Datos de Andalucía detectó 43 brechas de seguridad en organismos e instituciones públicos en los últimos cinco años. Así consta en un informe de esta entidad, al que ha tenido acceso este periódico. De estos agujeros, 20 se detectaron en el año 2022. En lo que va de 2023 se han registrado seis. En muchos de los casos se han perdido o sustraído datos confidenciales.

La mayoría de los asuntos atañen a las administraciones locales. Un buen ejemplo es el ciberataque sufrido hace poco más de un mes por el Ayuntamiento de Sevilla, que paralizó prácticamente todos los servicios e inhabilitó todos los trámites que podían realizarse on line, además de hacer caer todas las webs municipales. El de la capital andaluza ha sido el más sonado, pero no el único caso. Fueron 50 los ayuntamientos de toda Andalucía atacados entre 2019 y 2023.

También sufrió 13 brechas de seguridad la Junta, 27 entidades de derecho público o privado dependientes de la administración autonómica, 16 organismos dependientes de ayuntamientos y dos el sistema universitario andaluz, entre otros. En total, fueron 111 los agujeros detectados por el Consejo de Transparencia en este último lustro. Los años 2021 y 2022 fueron los peores, con 36 y 38 casos respectivamente.

En cuanto a la tipología de estos ataques, 107 afectaron a la confidencialidad, 32 a la disponibilidad y 15 a la integridad. Transparencia calificó como de severidad alta 12 casos, mientras que otros 27 fueron clasificados como de nivel medio y 72 bajo. Las causas más extendidas son los ciberincidentes (hacking, malware o phising), con 50 casos. Le siguen los dispositivos perdidos, robados o desechados, con 15; los datos enviados o mostrados por error, con 13; y las publicaciones indebidas, con 10.

El ransomware con cifrado de archivos es la causa que más brechas y afectados genera. Se trata de incidentes generados usualmente por un actor externo a la organización, cuyo objetivo es obtener un beneficio ilícito mediante el daño causado. Las consecuencias de estos ataques pueden conllevar el acceso a información, su exfiltración (transferencia de información no autorizada a un lugar externo) y el cifrado ilícito de la misma para impedir su uso. Además de estas consecuencias, suele provocar interrupción de los servicios durante periodos de tiempo considerables.

Los ataques de ransomware vienen en muchos casos precedidos de ataques de phising (intento de hacerse pasar por una persona o entidad de confianza para que la víctima realice alguna acción que no debería hacer) mediante correo electrónico, cuyo objetivo es el robo de credenciales de acceos a equipos como paso previo. Según las últimas publicaciones, el 99,9% de las vulnerabilidades explotadas se utilizaron transcurrido más de un año desde que fueron descubiertas y publicadas, por tanto con una actualización de seguridad disponible y habitualmente con tiempo suficiente para ser instalada.

El Consejo observa en ocasiones un "cierto desconocimiento" por parte del responsable del tratamiento de datos, tanto de las causas del incidente como de las medidas de seguridad desplegadas con carácter previo a la brecha, así como las adoptadas después. Son casos, habitualmente, en los que a través de un contrato o de cualquier otro instrumento jurídico, el tratamiento se realiza por cuenta de un encargado, un tercero. Esta circunstancias, que es legal, no exime de la obligación del responsable, que debe velar por garantizar la seguridad de los tratamientos y elegir un encargado que ofrezca garantías suficientes. 

Estos ataques se organizan en tres pasos: entrar en el sistema, cifrar la información y, posiblemente, exigir un rescate. En un caso concreto gestionado por Transparencia, fue el encargado del tratamiento, que manejaba datos sensibles, el que sufrió un ciberataque de ransomware. Este encargado reaccionó con rapidez y eficacia ante la brecha de seguridad. Tomó medidas inmediatas y se comunicó con diversas entidades técnicas y la Policía.

Transparencia destaca la importancia de que los responsables de tratamiento contraten servicios TIC sólo con encargados cualificados y con recursos suficientes para responder ante incidentes de este tipo, especialmente en casos donde se manejen datos sensibles o grandes volúmentes.

Durante la gestión de la brecha, algunas de las medidas que se pueden tomar son aislar los activos afectados, detectar y evitar la exfiltración de datos, recuperar la información y restaurar los servicios, notificar a la autoridad de control en cuanto se tengan datos, comunicar a los afectados y realizar un análisis forense. A posteriori, se debe aumentar el nivel de seguridad, impulsar y revisar los controles y mejorar la gestión de los incidentes.

Otro tipo de brechas son las de tipo hacking, que implican una intrusión no autorizada en sistemas para acceder y extraer información. Un organismo público sufrió un ataque en el que se extrajo información completa de una base de datos. Esta información apareció en la dark web a la venta, y posteriormente fue publicada en otras plataformas, comprometiendo la integridad de los datos. 

Otra posibilidad es el robo o pérdida de dispositivos. Durante un fin de semana se produjo el robo de un número significativo de equipos informáticos en un centro público de Sevilla, que contenían importantes cantidades de datos personales relacionados con la labor profesional de las personas usuarias. Las cámaras de seguridad captaron la intrusión, pero el sistema de alarma no se activó. Tras investigar los hechos, se descubrió que los equipos contenían una gran cantidad de datos personales, algunos de los cuales eran sensibles. Aunque estos datos estaban seudonimizados, surgieron dudas sobre el posible riesgo de reidentificación de personas concretas.

Las brechas de tipo difusión también se han dado en Sevilla. Son achacables a errores humanos, más que a ciberataques. Habitualmente se cometen a través del correo electrónico, cuando se envía información a destinatarios incorrectos. Destacan los casos en los que se emplean listas de distribución que contienen un elevado número de direcciones de correo electrónico, ya que un único error (basta con incluir la dirección de la lista) es suficiente para comunicar los datos a un elevado número de personas.

Es el caso de otro organismo público de la provincia de Sevilla que, en la tramitación de una convocatoria, envió un correo electrónico con información sobre datos sensibles de un ciudadano particular a todos los participantes en la convocatoria. La entidad reaccionó con rapidez, poniéndose en contacto con la persona afectada, así como con las personas que por error recibieron el correo para que procedieran a su eliminación. Generalmente, este tipo de equivocaciones tienen un elevado impacto emocional en las personas afectadas.

Una variante de este error es la publicación o comunicación indebida, que se produce cuando se publica en algún medio o se comunican datos personales de forma indebida y extensa. Pueden entenderse como una generalización del caso anterior. En la mayoría de los casos se trata de errores humanos. Un ejemplo es la publicación del DNI completo en un boletín oficial o listar datos identificativos completos de los participantes en procesos selectivos. También hay errores técnicos, como la configuración errónea de una aplicación que permite acceder a información de otros clientes, pacientes, estudiantes, empleados, etc. En Sevilla se dio el caso de una entidad que, en la tramitación de una convocatoria, publicó datos en la web que podrían permitir la reidentificación de los participantes.

El Reglamento General de Protección de Datos define el concepto de brecha de seguridad como "violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita de datos personales, aí como la comunicación o acceso no autorizados a dichos datos". Los responsables del tratamiento de datos tienen la obligación de comunicar a la autoridad de control competente, en este caso el Consejo de Transparencia, cualquier brecha que se produzca en un plazo de 72 horas.

El papel del Consejo es supervisar el proceso de gestión, dando prioridad a las situaciones de mayor riesgo y asegurando una respuesta eficaz. Es fundamental realizar una notificación temprana y adecuada, ya que esto proporciona al Consejo la oportunidad de analiza las causas y exigir o recomendar las medidas apropiadas, promoviendo la transparencia y la responsabilidad en el tratamiento de datos personales por parte de los organismos públicos. El enfoque del Consejo se centra en dos aspectos fundamentales: asegurarse de que los afectados sean informados en caso de alto riesgo para sus derechos y verificar que la organización afectada elabore un plan de mejora de acuerdo con lo sucedido.

Transparencia también hace una serie de recomendaciones. En el caso de cinerincidentes, el Consejo asegura que es necesario garantizar un nivel de seguridad adecuado al riesgo de tratamientos. Para el sector público, la Ley Orgánica de Protección de Datos Personales y garantías de los derechos digitales establece la obligatoriedad de aplicar las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS). Por tanto, la primera y mejor recomendación es obtener la certificación de conformidad con el ENS, así como su revisión periódica. 

Al margen de esto, es fundamental ofrecer información y concienciar en seguridad a las personas, que suelen ser consideradas como el elemento más débil en la seguridad de la información. Los errores humanos están en el origen de un número importante de incidentes. Otras recomendaciones son desplegar Microclaudia, una solución contra el ransomware del Centro Criptológico Nacional (CCN), gratuita para organismos públicos; así como desplegar y mantener antivirus, disponer de políticas de acceso restrictivas; mantener actualizados los sistemas operativos y las aplicaciones; disponer de copias de seguridad operativas y verificadas periódicamente; y aplicar la diligencia debida en la contratación de encargados de tratamiento.

Para evitar el robo de dispositivos, Transparencia recomienda el anclaje de los equipos portátiles en los puestos de trabajo y la custodia bajo llave de cualquier dispositivo empleado. Igualmente, se aconseja el cifrados de discos duros, smartphones y memorias USB, el uso de claves robustas y, en el caso de los sistemas operativos, que no se muestren el nombre del último usuario que inició sesión. Para los dispositivos conectados a la red, se debe habilitar la función de bloque o eliminación remota. Como recomendación general, el Consejo apunta que "lo adecuado es restringir al mínimo imprescindible los casos en los que se empleen dispositivos portátiles que contengan datos personales y disponer siempre de una copia de seguridad en lugar seguro de los mismos".

Para que no haya errores de difusión, es bueno utilizar listas de distribución con acceso restringido a un número limitado de personas, establecer procedimientos en los que el envío de correos especialmente sensibles requiera una revisión previa de otra persona y enviar la documentación cifrada por correo y utilizar otra vía para proporcionar la clave de acceso. Una recomendación general es la figura del delegado de protección de datos, que disponga de conocimientos en la materia y cuente con independencia en sus acciones.