¿Qué hago si mis datos personales aparecen en una filtración?

Pocos ámbitos de nuestra vida quedan ya libres de la tecnología y la digitalización, siendo cada vez mayor la oferta de servicios online y su demanda.

Prácticamente todas nuestras necesidades diarias (banca online, moda, redes sociales, viajes, alimentación…) están cubiertas por un servicio online dónde nos registramos e introducimos nuestros datos personales.

Las empresas que ofertan estos servicios poseen una enorme cantidad de datos personales de los usuarios que se han registrado a través de su APP o web.

Estas empresas sufren diariamente centenares de ataques y cuando sus defensas caen, los ciberdelincuentes obtienen acceso a toda o parte de su información con la consecuente filtración de nuestros datos personales ya sea para publicarla en la red o bien para venderla en el mercado negro.

Es por este motivo, que las empresas, organizaciones e instituciones que manejan nuestros datos, tienen o deberían tener una gran responsabilidad a la hora de manejar, conservar y proteger nuestros datos.

En definitiva, las consecuencias de la filtración de nuestros datos personales pueden ser muy graves dependiendo del tipo de información filtrada o de la protección adicional a estos datos (no es lo mismo que se filtre nuestro número de teléfono a que se filtre nuestros datos de la tarjeta bancaria).

¿Cómo actuar?

En primer lugar, mantener la calma, puede que sean datos nada relevantes u obsoletos.

Una vez calmados, seguir estos pasos:

1. Averiguar cuáles de nuestros datos han podido ser comprometidos. En el momento de hacerse pública una filtración, se suele hacer público también el tipo de datos que han sido filtrados (por los atacantes o por comunicado oficial de la propia empresa atacada).

2. Por seguridad, considerar comprometido cualquier dato que hayamos podido compartir con la empresa. Debemos ejercer nuestro derecho de usuario a obtener toda la información que una empresa de servicios online tenga sobre nosotros para tener control y visibilidad de la información que estamos compartiendo.

3. Proteger nuestra privacidad en función de la información comprometida deberemos actuar de un modo u otro:

I. Contraseñas: Cambiarla y actualizarla tanto en el servicio que ha sufrido el ataque como en otros donde hayamos utilizado la misma clave o una parecida.

II. Correo electrónico o número de teléfono: utilizar correos electrónicos alternativos y números de teléfono temporales para registrarnos, siempre que sea posible ya que suelen utilizar esta información para realizar ataques personalizados basados en ingeniería social (llamada telefónica de nuestro banco solicitándonos información sobre nuestra tarjeta bancaria y aportando la información filtrada para dar mayor credibilidad).

III. Nombre, apellidos, dirección o documentos de identificación personal: Puede servir a los atacantes para suplantar nuestra identidad y llevar a cabo actividades ilícitas (dar de alta servicios a nuestro nombre especialmente si se han filtrado números de cuenta o imágenes de nuestro DNI)

Podemos llevar a cabo el “egosurfing” periódicamente, buscando nuestro nombre y apellidos en Internet para encontrar perfiles falsos o actividad sospechosa, así como no utilizar esta información si no es imprescindible.

IV. Datos bancarios: Pueden realizar compras y transferencias a otras cuentas con esta información. Se debe notificar al banco para que evalúen el riesgo y puedan tomar las medidas oportunas, como anular la tarjeta bancaria e identificar posibles actividades sospechosas.

4. Denunciar el incidente. Al denunciar el incidente nos aseguramos de que quede constancia para que, en caso de que en un futuro un tercero haga un uso ilegítimo de esta información, el impacto sea mucho menor.

Se deben recopilar todas las pruebas y acudir a las Fuerzas y Cuerpos de Seguridad del Estado para que actúen en consecuencia. La Agencia Española de Protección de Datos nos ayudará en caso de que la empresa donde teníamos alojada esta información haya cometido una negligencia o un incumplimiento del contrato, al no proteger debidamente nuestra privacidad.

Guillermo Caro

Abogado de Nuevas Tecnologías

gcaro@binauramonlex.com