BRECHAS DE SEGURIDAD: ALGUNAS TIPOLOGÍAS DE CASOS QUE PUEDEN DAR LUGAR A UN INCIDENTE

0-day (vulnerabilidad no conocida): Vulnerabilidad que permite a un atacante el acceso a los datos en la medida en que es una vulnerabilidad desconocida. Esta vulnerabilidad estará disponible hasta que el fabricante o desarrollador la resuelva.

APT (ataque dirigido): Se refiere a diferentes tipos de ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. En esta categoría se encuadraría por ejemplo una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.

Denegación de servicio (DoS/DDoS): Consiste en inundar de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.

Acceso a cuentas privilegiadas: El atacante consigue acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo un ataque dirigido.

Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una de las posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.

Compromiso de la información: Recoge todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.

Robo y/o filtración de datos: Se incluye en esta categoría la pérdida/robo de dispositivos de almacenamiento con información.

Desfiguración (Defacement): Es un tipo de ataque dirigido que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.

Explotación de vulnerabilidades de aplicaciones: Cuando un posible atacante logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.

Ingeniería social: Son técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Fuente: AEPD


  • Hackeo de la red y acceso a datos por terceros no autorizados
  • Ransomware  (virus que encriptan los datos y piden un rescate por ellos)
  • Malware u otro tipo de virus que puedan afectar a datos
  • Que los empleados o entre compañeros se compartan contraseñas para acceder a diferentes datos a los que no todos tienen permisos o autorizaciones de acceso.
  • Robo o pérdida de documentación o dispositivos (me han robado o he perdido el portátil, el Smartphone, incluidos los personales si sincronizan el correo de empresa)
  • Acceso no autorizado a las oficinas o instalaciones de la empresa, con la consecuente pérdida o robo de documentación o equipos.
  • Trabajar en remoto desde equipos en casa, pero que esos equipos no tengan las medidas de seguridad que hay en la empresa
  • Olvidar o perder una contraseña de un dispositivo y que no se pueda recuperar la información que almacenaba (no recuerdo la contraseña de un HDD extraíble con la copia de seguridad)

NOTIFICACIÓN BRECHAS DE SEGURIDAD (Protección de Datos)

Una de las novedades del Reglamento General de Protección de Datos (RGPD) es la  NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (violación de la seguridad de datos personales)

  • Deben notificarse a la autoridad de control, la  AEPD  (salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas).
  • Deben notificarse a los interesados, en los casos más graves y si así lo decide la AEPD
  • Hay establecido un plazo para ello: a más tardar, a las 72 horas de que se haya tenido constancia de ello.

¿Qué se considera una brecha de seguridad?  Ver enlace a nuestro sitio web

Las brechas de nuestros PROVEEDORES, que afecten a nuestros datos, también son brechas que debemos notificar.

CONSÚLTENOS en el caso de sufrir una brecha de seguridad. Les tutelaremos y acompañaremos en la valoración, documentación y posible necesidad de notificación.

¿Qué notificar?

  • La naturaleza (y, si es posible, categoría y número de interesados y número de registros afectados) 
  • Datos del DPD y/o de contacto
  • Describir posibles consecuencias
  • Describir las medidas adoptadas o propuestas
  • Si todo de una vez no fuera posible, ir facilitando la información gradualmente
  • Deberá documentarse cualquier violación de seguridad de datos personales notificada
  • Puede llegar a tenerse que comunicarse la violación de la seguridad a los interesados afectados

La propia AEPD tiene un Formulario de notificación de brechas de seguridad, que contempla:

  • Datos de la notificación
  • Identificación del DPD o contacto
  • Identificación del responsable del tratamiento
  • Identificación del encargado del tratamiento
  • Información temporal de la brecha
  • Tipología de la brecha
  • Información datos afectados
  • Información sujetos afectados
  • Posibles consecuencias
  • Comunicación a interesados
  • Implicaciones transfronterizas
  • Documentación referida

Así como también una lista de “Criterios valorativos para la notificación de brechas de seguridad” que ayuda a la toma de decisiones relacionadas con la necesidad, o no, de notificación a la AEPD, teniendo en cuenta unos parámetros matemáticos que contemplan:

  • Volumen
  • Tipología
  • Impacto