Sé que no es la primera vez que hablo de esto.
Y, probable y lamentablemente, no será la última.
Noticia de prensa de estos días:
Un hackeo a través del Poder Judicial roba a Hacienda datos de medio millón de contribuyentes
Los servicios de Información hablan de una fuga de datos sin precedentes que también incluye el nombre, DNI o domicilio de cerca de 50.000 miembros del Cuerpo Nacional de Policía
¡Bravo!
Es decir, se me ocurren pocas cosas más sensibles que los datos económicos que tiene Hacienda de los ciudadanos o la información de nombres y domicilios de la Policía Nacional.
¿Quizás los planes del Estado Mayor Militar?
¿O las grabaciones de las sesiones privadas del Gobierno?
Yo creo que para el medio millón de ciudadanos españoles y para los policías nacionales afectados es más grave lo suyo.
¿Qué mal uso puede hacer un delincuente con toda esa información?
Por supuesto, cuando se produce un acceso no autorizado a datos personales, el responsable está obligado a notificarlo a la Autoridad de Control.
Pero además, cuando el riesgo sea alto, el responsable también debe comunicar la brecha de seguridad a las personas afectadas.
El plazo para notificar a la autoridad de control es de 72 horas desde que la organización tiene constancia de la brecha.
Creo que ya han pasado las 72 horas desde que la prensa tiene constancia.
Y, al parecer, el ciberataque se detectó en octubre. Hace casi un mes que se abrieron diligencias por este motivo.
Y no conozco a nadie que se le haya notificado nada.
Teniendo en cuenta que medio millón de ciudadanos es un porcentaje relevante de la población, no deja de ser curioso que no conozca a nadie que se le ha notificado. Más aún, si descontamos a menores o personas que no necesitan reportar anualmente todo su detalle económico a Hacienda.
¿Será que no se considera grave para los derechos del contribuyente que estén circulando libremente sus datos fiscales?
¿O será sencillamente que hemos tenido suerte y no nos ha tocado?
Al parecer, el ciberataque se produjo a través de la infraestructura del Consejo General del Poder Judicial.
(Por suerte parece que no se han visto comprometidos datos relativos a procedimientos judiciales)
Hacienda y el Poder Judicial.
Quienes manejan la información más sensible de los ciudadanos.
Quienes tienen medios y la obligación legal y moral de poner todas las medidas posibles para proteger la información tan sensible que manejan.
Aun así, no han sido capaces de impedir un ciberataque.
Como me comentaba hace poco un experto en ciberseguridad: el hacker puede fallar todas las veces y seguir intentándolo. El responsable de seguridad puede fallar una única una vez y estará acabado.
La lógica preocupación para cualquier empresario, que es el responsable final de la información que maneja su empresa, es ¿tengo las medidas suficientes para prevenir cualquier ciberataque?
La respuesta obvia, basada en lo que ha pasado con Hacienda y el Poder Judicial, es que no.
Si ellos no pueden, nadie puede.
Nunca las medidas de prevención podrán ser suficientes para prevenir cualquier ciberataque.
Podrán prevenir muchos.
¿Pero todos?
Evidentemente, hay que poner todas las medidas razonables.
Pero, aun así, hay que ser consciente de que podrán ser insuficientes.
La segunda preocupación es ¿Puedo hacer frente a las sanciones en caso de que suceda? ¿Podrá sobrevivir mi empresa?
La sanción por una infracción leve por no facilitar toda la información exigida en los artículos 13 y 14 del RGPD puede alcanzar hasta los 40.000 euros.
La sanción por una infracción grave está entre los 300.001 y los 20 millones de euros.
Así que, hagan sus cuentas.
Y, por supuesto, la pregunta final para todo ciudadano que paga sus impuestos es ¿quién pagará la multa por no puesto las medidas para impedir el acceso a esa información?
La respuesta es evidente: Hacienda somos todos.
Si eres responsable de tu negocio y no tienes la suerte de ser Hacienda, te puedo ayudar a que duermas más tranquilo con sistemas más seguros y procedimientos de actuación. Por si pasa algo.