En mayo, el GDPR cumpli贸 un a帽o. Esta normativa de la Uni贸n Europea cambi贸 el panorama de la protecci贸n de los datos personales y dio protagonismo a este aspecto tan importante de la ciberseguridad.

Tras varios meses sin noticias sobre el GDPR, en julio, volvi贸 a acaparar titulares la protecci贸n de datos. British Airways y Marriott recibieron multas聽 muy elevadas鈥204 millones de euros y 110 millones de euros respectivamente鈥攑or las brechas de datos que sufrieron el a帽o pasado. Facebook tambi茅n recibi贸 una multa de las autoridades italianas, mientras en Canad谩 un insider rob贸 los datos personales de 2,7 millones de personas.

Un robo masivo de datos

Ahora, los datos personales vuelven a tener protagonismo. Un trabajador de ciberseguridad de Bulgaria ha sido detenido y acusado de robar los datos financieros y personales de hasta 5 millones de ciudadanos de la Agencia Nacional de Impuestos (NRA) del pa铆s. 脡sta es la brecha de datos m谩s masiva de la historia del pa铆s, que tienes 7 millones de habitantes.

La informaci贸n sustra铆da incluye nombres, informaci贸n sobre los ingresos, declaraciones fiscales, pagos de seguros m茅dicos y pr茅stamos.

Un atacante con conocimientos

El martes por la tarde, la polic铆a entr贸 en la casa del sospechoso, un joven de 20 a帽os, y le detuvieron. All铆, encontraron dispositivos que conten铆an la informaci贸n robada en formato cifrado.

Seg煤n la prensa b煤lgara, el acusado trabajaba como investigador de ciberseguridad que buscaba vulnerabilidades en las redes inform谩ticas para prevenir los ciberataques. En 2017 sali贸 en las noticias por haber descubierto fallos importantes en la web del Ministerio de Educaci贸n b煤lgaro.

Tambi茅n estaba activo en las redes sociales,聽 publicando art铆culos sobre la ciberseguridad y el hackeo de manera regular antes de ser detenido.

Los problemas de ciberseguridad de un pa铆s

Este ciberataque ha reavivado el debate sobre los est谩ndares de ciberseguridad poco rigurosos dentro del pa铆s. El primer ministro del pa铆s ha dicho que el acusado era un hacker 鈥渃on gran habilidad鈥 y que el pa铆s deber铆a contratar a 鈥渃erebros 煤nicos鈥 parecidos al atacante.

Sin embargo, algunos expertos que han inspeccionado los datos robados dicen que las t谩cticas utilizadas eran relativamente b谩sicas, y eran m谩s indicativas de una falta de protecci贸n adecuada que de las habilidades del hacker.

La organizaci贸n empresarial m谩s importante del pa铆s, el BIA, advirti贸 hace a帽os de posibles fallos en la protecci贸n de datos de la Agencia Nacional de Impuestos. Ha exigido a la NRA que env铆e informaci贸n detallada sobre la informaci贸n robada a cada persona y cada empresa afectada.

Multas cuantiosas

Bajo el GDPR, la NRA puede tener que enfrentarse a una multa de hasta 20 millones de euros o el 4% de sus ingresos anuales. La sanci贸n depender谩 del n煤mero de personas afectadas y el volumen de informaci贸n robada.

Aunque ha habido multas muy altas bajo el GDPR, hasta la fecha, no hemos visto ninguna sanci贸n econ贸mica que llega a la m谩xima cantidad permitida 鈥 el 4% de los ingresos anuales de una organizaci贸n.

C贸mo evitar que tu organizaci贸n sea multada

El GDPR afecta a cualquier organizaci贸n que maneja los datos personales de ciudadanos de la UE. Por lo tanto, cumplir con ello es una prioridad para evitar los da帽os econ贸micos y reputacionales que una infracci贸n pueden suponer.

Para agilizar el cumplimento con esta normativa, Panda Adaptive Defense tiene un m贸dulo espec铆ficamente dise帽ado para ayudar con el GDPR: Panda Data Control. Este m贸dulo tiene muchas ventajas:

  • Descubre y Audita: Identifica los ficheros con datos de car谩cter personal (PII) de tu empresa adem谩s de los usuarios, empleados o colaboradores, y equipos o servidores que acceden a ella.
  • Monitoriza y Detecta: Los informes y la capacidad de configurar alertas en tiempo real de filtraciones y comportamientos an贸malos en la utilizaci贸n de archivos con datos de car谩cter personal, que Panda Data Control ofrece, ayudan a implementar medidas proactivas de acceso y operaci贸n sobre estos.
  • Simplifica la Gesti贸n: El m贸dulo de Panda Data Control, es nativo en Panda Adaptive Defense y Panda Adaptive Defense 360, no requiere ning煤n despliegue adicional a la protecci贸n, su activaci贸n es inmediata y desatendida, sin configuraciones engorrosas y todo ello gestionado desde la nube.
  • Demuestra聽a tus Responsables, al DPO, y al resto de empleados de tu organizaci贸n, que la empresa tiene un control exhaustivo de los datos de car谩cter personal ubicados en sus equipos, en c贸mo se operan y el tr谩nsito de estos desde y hacia los puestos.

Las nuevas brechas de datos y las multas que hemos visto este mes no ser谩n las 煤ltimas. Vendr谩n nuevos casos de incumplimiento del GDPR y de robo de datos personales. Aseg煤rate de que tu empresa no sea la pr贸xima con Panda Data Control.