¿Qué hacer si tu información personal aparece publicada en la red tras el ataque a un servicio ajeno?

Esto le ocurrió hace poco a unos clientes famosos y anónimos con las fotos de sus mamas y otras partes íntimas de una clínica lituana de cirugía estética. Los criminales extorsionaron a la clínica y a los clientes a cambio de la no divulgación. El botín: 25.000 imágenes de preoperatorio. Este tipo de archivos médicos están muy cotizados.

Cada vez es más frecuente que aparezcan fugas de información (“leaks”) procedentes de empresas en las que, de alguna u otra forma, tenemos dado de alta un servicio. Un correo web gratuito, un perfil en redes sociales, numeraciones de tarjetas, etc. Pero, cualquier información es buena si sirve para extorsionar a sus propietarios a cambio de no ser publicada. La empresa sufre un daño grave pero, ¿y sus clientes? Podemos considerarnos “afortunados” de que algún medio, sistema o usuario se haga eco de la fuga para saber que nuestra información confidencial ha sido publicada, al alcance de cualquiera, cibecacos o miserables que puedan sacarle rédito. Peroel campo de actuación del usuario víctima es mínimo. Cargos ilícitos, altas y compras fraudulentas a servicios y en webs, extorsiones, burlas, humillaciones, problemas personales y/o familiares y quizás, verse inmerso como investigado en un procedimiento judicial.

Inicialmente, el “pato” lo paga la pobre víctima que no sabe por dónde le pueden venir los palos o el que le ha venido, no sabe de dónde. Sin embargo, ¿qué responsabilidad tiene la empresa con respecto a la custodia de esa información? Para aclararos algunas de estas cuestiones he recurrido a David Maeztu, socio del despacho jurídico de Abanlex y abogado especializado en Derecho Tecnológico y Propiedad Industrial e Intelectual.

Maeztu nos comenta que la empresa de estética atacada asumiría la responsabilidad en dos ámbitos. En el plano administrativo, la Agencia de Protección de Datos realizaría una inspección y si comprueba que se han incumplido las medidas de seguridad que la legislación de protección de datos obliga a implementar (cifrado de la información, control de soportes y sistemas de acceso, etc.), podría imponerle una sanción de hasta 20 millones de euros o el 4% de la facturación como máximo. En el ámbito privado, la víctima podría exigir la responsabilidad directa derivada de los daños que esa fuga de información pueda provocar en el usuario.

En todo caso, es muy importante realizar una valoración del daño para que el Juez pueda cuantificar el prejuicio, no fácilmente estimable. Si esa valoración no existe, puede provocar que esa denuncia acabe siendo carne de archivo.

Si un usuario o cliente no se fía del tratamiento de datos que pueda hacer una empresa, ¿qué posibilidades tiene de saber si cumplen con lo que manifiestan en sus políticas de privacidad y condiciones de servicio? El usuario está muy indefenso -explica Maeztu-, ya que el tratamiento de los datos se realiza de forma opaca para ellos. No hay manera de auditar la mayoría del software que emplean, por lo tanto es imposible conocer el alcance real de esos usos.

Por lo tanto, si nos encontramos información personal o confidencial pública en la Red, ya sea en redes sociales, deep web, foros, pastebin u otros servicios que se hacen eco habitualmente de fugas de información, debemos tener presente:

• Descartar que la fuga provenga de nuestros propios dispositivos y que la víctima del ataque hayamos sido nosotros mismos. Lo sabremos, sobre todo, si se trata determinados archivos que pudiéramos tener almacenados en nuestras máquinas. Posibles vectores de ataque: apps maliciosas instaladas que no están descargadas de markets oficiales, ataques dirigidos contra nuestros sistemas, etc. Si nuestra información forma parte de un leak masivo, es obvio que nosotros no somos el origen.
• Podemos intentar saber cuál es el origen y las causas de la filtración acudiendo a la Agencia Española de Protección de Datos, pero son tantos los servicios a los que nos suscribimos y nuestros datos reales limitados (teléfonos, emails, datos de tarjetas de crédito, etc.) que es prácticamente imposible determinar a qué servicio le han saqueado la base de datos, salvo que sean muy específicos como los de la clínica de cirugía estética o una cuenta de un servicio específico como puede ser u perfil en una red social.
• En el caso de que hayas podido identificar al servicio que ha sufrido la fuga, como por ejemplo, transacciones desde cuentas o tarjetas, puedes solicitar la restitución al banco como responsable ante fallos de seguridad. El consumidor está bastante protegido en estos casos, quedando sin efecto el contrato con el servicio que ha sufrido el leak. Si tienes que acudir a los tribunales, vía civil, para exigir indemnización por daños morales, lo más complicado será realizar la valoración de la conducta negligente, si es que se puede.
• En otros casos, como ya vimos en uno de mis anteriores post , ante la aparición de altas en servicios que no has contratado, cuentas suplantadas, cargos ilícitos en cuentas o gastos de servicios en webs que no has realizado, es complicado dar con el servicio que ha sufrido la intrusión y por tanto, exigir responsabilidades. Tendrás que apechugar con lo que pueda venir, inclusive, verte envuelto como investigado en un proceso penal. En el caso de que detectes que tu información personal ha sido publicada, te recomiendo que interpongas una denuncia por si alguien la utiliza en tu contra o en su beneficio.
• Si la empresa o servicio tuviera su domicilio social fuera de España, el nuevo Reglamento General de Protección de Datos de la Unión Europea señala que lo relevante es si el servicio se destina a los ciudadanos de España o de la UE. Es decir, si tienes un servicio fuera de la UE pero admites contratar con europeos, dispones de un sitio web con un dominio .es, etc., entrarás dentro del ámbito de aplicación de la norma y tendrás que cumplir con su contenido, lo que incluye la exigencia de responsabilidades, comenta el abogado Maeztu.

No obstante, nunca está demás que utilices servicios como https://hesidohackeado.com/ para chequear si tus cuentas de correo figuran en algún leak.