A raíz de los últimos ciberataques contra la cuenta de Twitter de Correos, tanto la compañía como miles de sus usuarios se han visto sorprendidos por la puesta en jaque de sus datos. Al igual que el dicho de "hecha la ley, hecha la trampa", lo mismo aplicaría para "creada una medida de seguridad, creada una vulnerabilidad". En una carrera similar a la armamentística, mientras que las empresas de seguridad cibernética intentan implementar protocolos de seguridad más infranqueables, los hackers no cesan en buscar nuevas formas y métodos de sortear los mismos.
En este caso, los hackers, una vez logrado el acceso no autorizado a la cuenta de Twitter de Correos, han publicado comentarios que podrían ser considerados lesivos para el honor, la imagen y la reputación de Correos. A su vez, se han enviado miles de SMS a los usuarios argumentando que para que sus envíos llegaran, tenían que abonar determinada cantidad de dinero a través de un enlace, aunque con una apariencia absolutamente fiable, fraudulento. Según las últimas declaraciones de Correos, estos dos incidentes no están conectados y se están tratando de forma independiente. En otras palabras, estamos ante un caso Hack & Phish, o comúnmente denominados como hackeo y suplantación de identidad para acceder a datos ajenos, respectivamente.
En cuanto al hackeo, el volumen, tipología de datos e impacto, siguen estando pendientes de concretarse, pero Correos habrá tenido que sacar del banquillo el Plan de Actuación y Contingencia que haya elaborado para estas situaciones, en atención a la legislación aplicable, y a los efectos de poder mitigar el impacto en la mayor medida posible. Lo que sí queda claro es que, en virtud del RGPD, Correos vendrá obligado a analizar, gestionar y, en su caso, notificar esta brecha de seguridad ante la Agencia Española de Protección de Datos (AEPD) tan pronto hubiera tenido conocimiento de ella, y, en cualquier caso, en un plazo no superior a 72 horas desde ese momento, sin perjuicio de la posible notificación gradual con aquella nueva información o datos que pudieran resultar de interés para el caso.
Entre la multitud de frentes a los que ahora mismo se enfrentan el Responsable de Seguridad y el Delegado de Protección de Datos de Correos, no se podrán olvidar de poner en marcha su procedimiento de notificación a todos los afectados, ya que el ataque producido entraña un alto riesgo para los derechos y libertades de estos últimos.
Nunca está de más recordar a los ciudadanos que, ante la sospecha de una comunicación fraudulenta que se realice por un medio electrónico, tienen el derecho a consultar y trasladar la misma a las autoridades. Eso sí, habrá que tener en cuenta que el número 900 116 117, antigua asignación para la Línea de Ayuda en Ciberseguridad, ha sido sustituida ayer por el número 017, por lo que deberemos ponernos en contacto con las autoridades a través de este último.
En todo caso, siendo cada vez más común que las empresas y las organizaciones sufran ataques de este tipo, también es cada vez más necesario que se adopten por las mismas medidas proactivas de protección y de garantía de sus derechos e intereses y las de sus usuarios.
Entidades
