Daño económico o daño reputacional, consecuencias de los ataques informáticos a empresas

Desde hace un tiempo, se han incrementado los ataques informáticos a empresas. Recientemente, se ha tenido conocimiento de los sufridos por Adeslas y Zendal. A mayores del evidente perjuicio económico, se generan otros, de igual o mayor importancia, como son la brecha de seguridad y el daño reputacional, los cuales pueden producir un impacto económico mayor que el primero al generar inseguridad en clientes y proveedores y un daño a la imagen de la empresa, que se puede traducir en pérdida de clientes actuales y/o potenciales.

Ser solventes, eficaces y ofrecer garantías en la gestión de estos incidentes, puede convertirse en una ventaja competitiva, pero para ello y para evitar el ataque y los perjuicios derivados del mismo, primero tenemos que saber a qué nos enfrentamos, cómo evitarlo y, si lamentablemente lo sufrimos, cómo mitigar su impacto.

– ¿Cómo se han realizado estos ataques?
El ocurrido a Adeslas (SegurCaixa) (09/09/20) se denomina ransomware (secuestro virtual: ransom (rescate, en inglés) y ware (producto o mercancía), es un software que cifra ciertos archivos o bien todo el disco duro de la víctima, bloqueándolo para impedir que el usuario acceda a sus ficheros y solicitando un rescate para recuperar el acceso al sistema y los ficheros. En Adeslas el colapso digital fue absoluto, impidiendo la consulta de pólizas y el acceso a la información de los asegurados. Comunican que no han pagado ningún rescate y que ninguna información sensible está en poder de los cibercriminales.

En el caso de Zendal, dedicada a la biotecnología y, actualmente trabajando para fabricar la vacuna contra el covid-19, el ataque sufrido en noviembre, es del tipo phishing (misma naturaleza que el Vishing y Smishing), los cuales se tratan de tres ataques basados en ingeniería social. El ciberdelincuente enviará un mensaje suplantando a una entidad legítima, que inspire confianza a la víctima, en el caso concreto, suplantaron la identidad del gerente (variante conocida como fraude del CEO) creando una cuenta de correo electrónico corporativo desde la que ordenaron a un subordinado que realizase las transferencias con total discreción. De forma paralela, también se hicieron pasar por auditores de la auditoría holandesa y considerada dentro de las Big Four, KPMG, para girar por vía telemática las órdenes de pago y las correspondientes facturas falsas, por valor de 9,7 millones de euros.

– ¿Cómo evitarlos?
Las medidas más eficaces son las relacionadas con la concienciación y formación a trabajadores, formando parte de medidas enfocadas a la prevención, tales como implantar políticas de copias de seguridad, uso de contraseñas seguras, vigilancia de correos electrónicos desconocidos y supervisión continua, realizando auditorías de control.

– ¿Qué hacer una vez sufridos?
En primer lugar, realizar una evaluación de impacto, a fin de documentar la brecha de seguridad (obligación del art. 33 RGPD, sancionable por la AEPD) y para el caso de que se vean afectados datos de carácter personal (que el ciberataque no sólo haya encriptado si no que haya accedido y pueda existir un riesgo de difusión de los datos de trabajadores, clientes…) habrá que notificar a la AEPD, antes de 72 horas desde que se haya tenido constancia, y en su caso, la comunicación a los afectados.
En concreto, en junio de 2020, una empresa fue sancionada por la APED, al pago de 6.000 euros, al incumplir la obligación de documentar y notificar la brecha de seguridad a la Agencia y a los afectados.

Por lo que puede darse la situación de haberse repuesto del ciberataque de forma satisfactoria, sin haber pagado el rescate, pero una mala gestión del mismo, puede ocasionar igualmente el perjuicio económico.

Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en [email protected]

Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.

Arias Avogados

Toll Free
1-885-245-45635
New York
1-455-245-45623
Toronto
1-657-544-45623
Resumen de privacidad

RESPONSABLE 

ARIAS AVOGADOS, S.C.

N.I.F.: J-42.739.680

Dirección: Rúa Concordia, nº1, Entlo A-B, 32003, Ourense.

Teléfono: 988 609 224

Correo Electrónico: [email protected]

FINALIDAD

ARIAS AVOGADOS, S.C. tratará los datos de sus clientes/usuarios con la finalidad de incorporarlos al sistema de tratamiento del que es responsable y llevar a cabo la prestación de los servicios propios de un despacho de abogados.

-No existirán decisiones automatizadas ni se elaborarán perfiles a partir del tratamiento de sus datos.

-Los datos proporcionados a ARIAS AVOGADOS, S.C. se conservarán durante el tiempo que dure la relación profesional.

Dichos datos permanecerán en el sistema de tratamiento del responsable. Una vez finalizada la relación profesional, los datos personales facilitados se destruirán en el plazo de 30 días desde la fecha de finalización, salvo que por imperativo legal se tenga la obligación de conservarlos.

LEGITIMACIÓN

Consentimiento expreso del Cliente (art. 6.1 a) RGPD), y Ejecución contrato prestación de servicios (art. 6.1 a) RGPD).

DESTINATARIOS

El Cliente/Interesado/a consiente expresamente la cesión de sus datos cando sea necesario para la mejor prestación del servicio, siempre que únicamente se cedan los datos imprescindibles para tal fin. Se procederá a ceder datos del  Cliente a las entidades públicas o privadas necesarias (Gestoría e Informático), siempre y cuando sean adecuados y guarden relación con la finalidad que se persigue.

El consentimiento de cesión a terceros podrá ser revocado en cualquier momento con independencia de la prestación de servicios mediante comunicación al Responsable de Tratamiento, de acuerdo al apartado siguiente, DERECHOS.

-No se contemplan transferencias internacionales de los datos.

DERECHOS

El Cliente/Interesado/a tiene derecho a obtener el acceso a sus datos, a su rectificación o supresión, a la limitación de su tratamiento, o a oponerse al mismo, así como a la portabilidad de sus datos, solicitándolo mediante comunicación al Responsable de tratamiento, bien en el domicilio profesional en Rúa Concordia, nº1, Entlo A-B, 32003, Ourense,  en la dirección de correo electrónico: [email protected], y si no se obtiene respuesta, directamente ante la AEPD en www.aepd.es adjuntando, en ambos casos, fotocopia de documento identificativo (D.N.I., N.I.E., o Pasaporte).