¿Se han filtrado tus datos tras el ciberataque a una empresa? Así puedes protegerte

Cuando una empresa sufre un ciberataque, los datos personales de sus clientes pueden quedar al descubierto. No es un hecho hipotético ya que, organismos y compañías como Air Europa o la Dirección General de Tráfico (DGT), ya han sido víctimas de estas acciones. En estos casos, los ciberdelincuentespueden filtrar la información que han obtenido de los usuarios o incluso venderla en el mercado negro.

Como señala Maldita.es, el impacto de estos delitos en nuestra seguridad va a depender de cuáles sean los datos que se han visto expuestos, porque no es lo mismo que se filtre una dirección de correo electrónico que un número de cuenta bancaria.

Entre los principales riesgos a los que nos enfrentamos en estos casos están los ataques de phishingpersonalizados o la suplantación de identidad, ambos de la suficiente gravedad como para que debamos saber cómo protegernos y cómo reclamar si nos vemos afectados por una filtración.

Conocer los datos expuestos

El Instituto Nacional de Ciberseguridad (INCIBE) explica que cuando una filtración se hace pública, normalmente también se conoce el tipo de datos comprometidos, "bien porque los atacantes lo han dado a conocer o porque la propia empresa atacada haya realizado un comunicado oficial". Además, el artículo 34 del Reglamento General de Protección de Datos (RGPD) obliga a las empresas a comunicar a los clientes que sus datos han sido expuestos si la brecha afecta a "los derechos y libertades" de los usuarios.

En cualquier caso, por prudencia, el INCIBE recomienda considerar comprometido cualquier dato que hayamos compartido con la empresa afectada. La Agencia Española de Protección de Datos (AEPD) aconseja también "valorar el alcance o las posibilidades de que esa información abra las puertas a otras informaciones sobre tu persona". Por ejemplo, utilizar la misma contraseña en distintos sitios puede hacer que, si se filtra la de tu correo electrónico, los ciberdelincuentes puedan acceder a esas otras cuentas.

Para comprobar si alguna cuenta asociada a nuestro mail ha sufrido una brecha de seguridad, Maldita.es recomienda utilizar la herramienta Have I Been Pwned, que permite introducir la dirección de correo y verificar si las cuentas vinculadas figuran en alguna filtración conocida.

Medidas para reducir el impacto

Una vez que los ciberdelincuentes han accedido a los datos, no podemos evitar que los difundan o los vendan, pero sí adoptar medidas para limitar las consecuencias.

Si se han filtrado contraseñas, es fundamental cambiarlas tanto en el servicio afectado como en cualquier otro en el que utilicemos la misma u otra similar. También es recomendable usar un gestor de contraseñas para no repetir claves. Como medida preventiva, el INCIBE sugiere emplear correos alternativos o números de teléfono temporales para registrarnos en servicios de uso puntual, siempre que sea posible.

Si los datos comprometidos incluyen nombre, apellidos, dirección o DNI, podemos practicar egosurfing, es decir, buscarnos en internet para detectar perfiles falsos o actividades sospechosas. Si encontramos algo indebido, podemos reclamar ante la AEPD.

En caso de que se hayan visto afectados datos bancarios, conviene avisar cuanto antes a la entidad para evaluar el riesgo y tomar medidas como anular la tarjeta o revisar posibles movimientos sospechosos.

El INCIBE recuerda, además, que en las semanas y meses posteriores al ciberataque debemos mantenernos alerta ante posibles intentos de fraude: correos, SMS o llamadas que soliciten claves o datos personales, o movimientos bancarios extraños. Ante cualquier duda, podemos contactar con la compañía afectada o llamar al 017, la línea de ayuda en ciberseguridad.

Cargos indebidos: denuncia y reclama

Si detectamos un movimiento extraño en la cuenta, debemos recopilar pruebas y denunciar lo antes posible ante la Policía Nacional o la Guardia Civil. También hay que reclamar al banco la devolución del dinero, ya que se trata de un "movimiento no autorizado", según la Asociación para la Defensa de Consumidores y Usuarios de Bancos, Cajas y Seguros (ADICAE). Para ello será necesario aportar la denuncia.

El artículo 45 del Real Decreto-ley 19/2018 establece que, en caso de operación de pago no autorizada, el proveedor de servicios de pago deberá devolver el importe de inmediato. En la misma línea, la Organización de Consumidores y Usuarios (OCU) recuerda que cualquier cargo no autorizado tras un ataque debe ser reembolsado.

Acciones legales

Además, podemos interponer una reclamación ante la AEPD si consideramos que la empresa no actuó con la debida diligencia, denuncia que puede derivar en una sanción administrativa para la entidad. Y si la AEPD impone una multa, el usuario estará legitimado para reclamar por la vía civil una indemnización por daños y perjuicios, siempre que pueda probar que el daño es consecuencia de una mala praxis.