Encima de ciberatacado, sancionado

thehackernews

I. La paradoja que desconcierta al lector

¿Puede sancionarse a quien también ha sido víctima de un delito? Esa es la pregunta que surge al leer el titular. La Agencia Española de Protección de Datos ha multado con 500.000 euros a un call center de telemarketing. El motivo: un ciberataque que expuso los datos de 808.000 personas. A simple vista, parece un castigo al perjudicado. Como si la Agencia Española de Protección de Datos añadiera la sanción al daño ya causado por los atacantes. Pero esa lectura, aunque comprensible, es superficial.

Basta con asomarse al expediente para comprender que la empresa no ha sido multada por haber sido atacada. Lo ha sido por las condiciones en las que ese ataque se produjo. Por haber dejado la puerta abierta a sabiendas de que existían cerraduras mejores. Por no haberlas instalado después de que se lo advirtieran. Y por no haber detectado lo que ocurría en sus propios sistemas mientras los atacantes paseaban a sus anchas por los datos de los clientes. Esa es la diferencia esencial.

La resolución, dictada el 22 de abril de 2026, pone fin a un procedimiento en el que la empresa reconoció su responsabilidad. Se acogió al pago voluntario y obtuvo una reducción del cuarenta por ciento. La multa final: 300.000 euros. El expediente, iniciado tras las reclamaciones de ciudadanos que recibieron comunicaciones sobre la exposición de sus datos, se ha convertido en un caso de manual. Habla de los deberes del encargado del tratamiento, de la responsabilidad por las subcontratas y de las consecuencias de incumplir las obligaciones de seguridad que el Reglamento General de Protección de Datos impone con claridad meridiana.

II. Lo que pasó entre el 5 y el 7 de mayo de 2024

Los hechos son sencillos de narrar, pero difíciles de justificar. Entre el 5 y el 7 de mayo de 2024, un atacante accedió a los sistemas del contact center. No utilizó técnicas de piratería sofisticadas. Empleó credenciales legítimas de dos empleados de una subcontrata. Esas credenciales eran personales e intransferibles, pero alguien las obtuvo. Con ellas, penetró en la aplicación donde se gestionaban los datos de los clientes. Durante dos días, extrajo nombres, apellidos, fechas de nacimiento, números de DNI, NIE o pasaporte, y datos de contacto de más de 800.000 personas. El peligro inmediato: que esos ciudadanos fueran víctimas de phishing, suplantación de identidad o spam.

Ahora bien, ¿quién detectó el ataque? No fue el call center. Y eso es relevante, porque el call center tenía la obligación contractual y legal de vigilar sus sistemas. Fue uno de los responsables del tratamiento afectados quien advirtió un volumen inusualmente alto de actividad. Dio la voz de alarma. Solo entonces se bloquearon los accesos y se neutralizó la intrusión. Dos días enteros de extracción continua sin que quien custodiaba la información se percatara de nada. Ese detalle, a mi juicio, dice mucho más sobre la seguridad de la empresa que el propio ataque.

III. La auditoría de 2022 y la advertencia ignorada

Aquí está el meollo de la cuestión. El dato más devastador para el contact center no es el ataque, sino lo que ocurrió mucho antes. En noviembre de 2022, año y medio antes de la brecha, una auditoría de ciberseguridad encargada por los clientes ya había detectado la ausencia de doble factor de autenticación para el acceso remoto. El informe lo señaló como un aspecto susceptible de mejora. ¿Y qué hizo la empresa? Nada. No implementó la medida.

Cabe preguntarse por qué. Quizá por el coste, quizá por la complejidad percibida, quizá por simple dejación. El hecho es que, cuando el atacante obtuvo las credenciales de la subcontrata, no tuvo que superar un segundo factor. Porque ese segundo factor no existía. Y esto no es un detalle menor. El doble factor de autenticación no es una sofisticación propia de agencias de inteligencia. Es una medida elemental. Cualquier proveedor de servicios de tratamiento de datos debería tenerla incorporada desde hace años. La propia Agencia lo ha señalado en numerosas guías y resoluciones. La auditoría de 2022 lo recomendó. La empresa lo ignoró.

El ataque de 2024 aprovechó exactamente esa carencia. No fue una casualidad. Fue el desenlace de un riesgo conocido desde hacía dieciocho meses. La Agencia, al sancionar, no ha hecho sino constatar que la omisión de una medida de seguridad recomendada por una auditoría previa constituye un incumplimiento del principio de integridad y confidencialidad del artículo 5.1.f) del Reglamento General de Protección de Datos. Y me parece que esa es la clave para entender por qué la sanción es tan elevada.

IV. La subcontrata y la responsabilidad que no se delega

Las investigaciones revelaron que la exfiltración se produjo en los puestos de trabajo de dos empleados de una subcontrata. Esa entidad actuaba legalmente como subencargada del tratamiento. La Agencia constató que esta subcontrata no había recibido las instrucciones adecuadas para garantizar la confidencialidad de los datos. No se afirma que los trabajadores fueran los autores de la intrusión, sino que sus cuentas quedaron comprometidas. Fueron el vehículo por el que un tercero ejecutó los accesos ilícitos.

La cuestión de la subcontratación es particularmente delicada. El Reglamento General de Protección de Datos permite que el encargado recurra a otro encargado para prestar servicios, pero exige que se impongan a ese subencargado las mismas obligaciones de protección de datos que figuran en el contrato principal. El artículo 28.10 del Reglamento, aplicado en la resolución, establece que el encargado del tratamiento que incumpla sus obligaciones será considerado responsable respecto de los daños causados.

En este caso, el call center no solo incumplió sus propias obligaciones de seguridad, sino que tampoco se aseguró de que su subcontrata las cumpliera. La responsabilidad asciende hacia quien tenía el control efectivo del tratamiento. Y aquí conviene recordar una idea que parece obvia pero que se olvida con frecuencia: quien subcontrata no se desentiende. Quien encarga a un tercero el tratamiento de datos personales sigue siendo el garante. La externalización no transfiere la culpa; añade la obligación de supervisar al subcontratista y de garantizar que este cumple las mismas exigencias de seguridad. No se trata de un detalle técnico, sino de un principio básico de la normativa.

V. La calificación de la infracción y la reducción de la multa

La Agencia calificó la infracción como muy grave conforme al artículo 72.1.a) de la LOPDGDD, que sanciona el tratamiento de datos vulnerando los principios y garantías del Reglamento. La calificación responde a varios factores. El volumen masivo de afectados —más de 800.000—. La inclusión del DNI entre los datos exfiltrados. La ausencia de medidas de seguridad elementales como el doble factor de autenticación. La falta de sistemas de detección que obligaron a que fueran terceros quienes alertaran de la brecha. Todos ellos son elementos que, considerados en conjunto, justifican sobradamente la gravedad de la conducta.

La sanción inicialmente fijada fue de 500.000 euros. Pero la empresa se acogió al doble beneficio previsto en la normativa: el reconocimiento de responsabilidad y el pago voluntario anticipado. Cada uno de estos actos conlleva una reducción del veinte por ciento. El resultado: 300.000 euros. La reducción no es un regalo, sino un incentivo legal que persigue aliviar la carga de los procedimientos administrativos y fomentar la colaboración temprana. La Agencia dio por terminado el procedimiento, pero no sin antes ordenar a la entidad que adoptara de forma proactiva las medidas de seguridad obligatorias y acreditara su implantación sin necesidad de un nuevo requerimiento.

La sanción económica no extingue la obligación de asegurar los sistemas. La mantiene, bajo la supervisión de la autoridad de control. La Agencia puede verificar posteriormente el cumplimiento efectivo de las medidas correctoras impuestas. Pagar no es suficiente. Hay que corregir las deficiencias.

VI. Reflexiones finales: lo que este expediente enseña

El expediente constituye una lección práctica para cualquier empresa que trate información personal a gran escala. La primera enseñanza: las auditorías no se hacen para guardarlas en un cajón. Se hacen para implantar sus recomendaciones antes de que los ciberatacantes las conviertan en evidencias de un procedimiento sancionador. Esa lección, que parece de Perogrullo, se incumple con una frecuencia preocupante. La segunda enseñanza: el encargado del tratamiento responde por sus subcontratas como si fueran él mismo. La confianza del responsable se deposita en quien asume contractualmente la prestación del servicio, y esa confianza no se diluye por el hecho de que haya un tercero implicado. La tercera enseñanza: el deber de detección es tan importante como el deber de prevención. No basta con tener cerraduras si no se vigila quién está intentando forzarlas.

Queda, por último, una reflexión que trasciende el caso concreto. La Agencia Española de Protección de Datos ha demostrado con esta resolución que la condición de víctima de un ciberataque no exime de responsabilidad cuando el ataque prospera gracias a las propias deficiencias de seguridad del atacado. La empresa fue atacada, sí. Pero también había sido previamente auditada y advertida de la necesidad de reforzar sus sistemas. El resultado es un expediente que resume una paradoja frecuente en materia de protección de datos: una entidad puede ser víctima de un ataque y, al mismo tiempo, responsable de no haber adoptado las medidas razonablemente exigibles para evitar que ese ataque tuviera éxito. Y esa paradoja, como muestra este caso, tiene un precio.