GDPR<\/strong>\u00a0y el impacto que tendr\u00e1 en las organizaciones que posean datos personales o profesionales de los usuarios. Gran parte de estas noticias, quiz\u00e1s por sensacionalismo -o porque a menudo es lo \u00fanico que \u201centendemos\u201d- inciden en los aspectos pecuniarios sancionadores que la entrada en vigor de la normativa tendr\u00e1 como consecuencia para las empresas.<\/p>\nA pocas personas se les escapa, a estas alturas, algunas cifras como el 4% de la facturaci\u00f3n de la compa\u00f1\u00eda o 20 millones de euros como posibles multas que sobrevuelan como espada de Damocles para los m\u00e1s irresponsables o incautos. Y eso causa pavor.<\/p>\n
Precisamente hace pocos d\u00edas, un conocido fabricante de productos de ciberseguridad se hac\u00eda eco del impacto que la entrada en vigor del nuevo reglamento puede tener en la proliferaci\u00f3n de nuevos intentos de extorsi\u00f3n basados en esa amenaza. Y es que el campo se encuentra abonado para ello. Si hay una palabra que se ha hecho viral durante 2017 ha sido la de \u201cransomware\u201d.<\/p>\n
\u00bfQui\u00e9n no ha o\u00eddo hablar de WannaCry o de NotPetya? Parece evidente que muy pocos responder\u00edan encogi\u00e9ndose de hombros. La proliferaci\u00f3n de mensajes de extorsi\u00f3n ha inundado los medios de comunicaci\u00f3n especializados. \u00daltimamente aparecen unidos al nuevo reglamento de protecci\u00f3n de datos europeo<\/strong>. Pero \u00bfrealmente este nuevo reglamento de GDPR abre la posibilidad a nuevas formas de extorsi\u00f3n?<\/strong> Esto es, quiz\u00e1s, lo que debemos analizar.<\/p>\nAmenazas amparadas en el GDPR<\/h3>\n
\u00a1No se asusten! No trataremos a revisar uno por uno los art\u00edculos del reglamento. Estamos seguros de que muchas cosas se nos escapar\u00edan. Por el contrario, intentaremos centrarnos en aquellos aspectos del GDPR que se podr\u00edan a\u00f1adir como f\u00f3rmulas de extorsi\u00f3n. Porque lo primero que debemos preguntarnos es por qu\u00e9 una compa\u00f1\u00eda se mostrar\u00eda a ser v\u00edctima participativa de una extorsi\u00f3n bajo la excusa de la aplicaci\u00f3n del GDPR . En principio se nos ocurren dos razones: econ\u00f3micas y reputacionales.<\/p>\n
Respecto a la primera la amenaza resulta evidente. El GDPR es muy claro al imponer las mayores sanciones cuando se producen violaciones de (a) los principios b\u00e1sicos del procesamiento de datos, (b) los derechos de los usuarios, (c) la transferencia de los datos, (d) las leyes sobre derechos de fundamentales o (e) el incumplimiento de una orden dada por la autoridad supervisora. A estas sanciones hay que unir otras de menor impacto, pero no por ello exentas de relevancia como (f) la obligaci\u00f3n de obtener el consentimiento de los usuarios menores de edad, (g) la notificaci\u00f3n en tiempo y forma de una brecha de seguridad, (h) la designaci\u00f3n de un responsable de protecci\u00f3n de datos, o (i) la disponibilidad de protocolos y estructuras para la certificaci\u00f3n y monitorizaci\u00f3n de los procedimientos.<\/p>\n
Con relaci\u00f3n a las amenazas reputacionales<\/strong>, el GDPR tiene un efecto colateral, aunque no menos importante. Un incumplimiento de la normativa se convertir\u00e1 en una cuesti\u00f3n de \u201cdominio p\u00fablico\u201d si es lo suficientemente relevante. Y la confianza es el principal activo de una organizaci\u00f3n. As\u00ed pues, no es un da\u00f1o que se pueda ignorar, aunque la normativa directamente no lo sancione.<\/p>\nAmenazas como el robo de datos<\/strong>, su inutilizaci\u00f3n (cifr\u00e1ndola, modific\u00e1ndola o alterando su contenido para hacerla inconsistente) o la inhabilitaci\u00f3n de un servicio de acceso para los propietarios de los datos (o como es habitualmente conocido por las siglas DDoS<\/strong> \u2013 Distributed<\/em> Denial of Service<\/em>) resultan ser las extorsiones econ\u00f3micas m\u00e1s comunes. A ellas se unen otras como la divulgaci\u00f3n de incumplimientos normativos basados, por ejemplo, en el env\u00edo de informaci\u00f3n (incluyendo ofertas, propuestas o promociones) no solicitada, la segmentaci\u00f3n de la informaci\u00f3n (cara a su explotaci\u00f3n para usos sociol\u00f3gicos y por supuestos econ\u00f3micos) o la compartici\u00f3n con terceros (sin, por supuesto, la autorizaci\u00f3n del propietario de los datos).<\/p>\nExtorsi\u00f3n<\/h3>\n
Todas ellas llevan consigo da\u00f1os -unas veces en forma de sanciones en el reglamento y otras en forma de atentados contra la reputaci\u00f3n- que las v\u00edctimas tendr\u00e1n que poner en una balanza cuando se enfrenten a un intento de extorsi\u00f3n. Una extorsi\u00f3n que puede presentarse de muchas maneras. Desde simples llamadas telef\u00f3nicas hasta la instalaci\u00f3n de aplicaciones de ransomware <\/em>en servidores y puestos de trabajo, pasando por campa\u00f1as de phishing dirigidas a los empleados de una compa\u00f1\u00eda o campa\u00f1as difamatorias en redes sociales.<\/p>\nY es que cuando uno analiza cu\u00e1l puede ser el coste de informar sobre un problema de seguridad en el que se han visto afectados datos personales, el pagar una extorsi\u00f3n puede resultar una alternativa a la que algunos pueden verse tentados.<\/p>\n
Llegados a este punto, ser\u00eda importante explicar que tratar de ocultar una fuga de informaci\u00f3n solo traer\u00e1 m\u00e1s problemas<\/strong> \u2013 eso sin considerar los delitos a los que se expondr\u00e1 cualquier compa\u00f1\u00eda en caso de ser descubierta pagando una extorsi\u00f3n. Nadie garantiza que la fuga no pueda volver a producirse y que la extorsi\u00f3n contin\u00fae \u2013 y eso sin tener en cuenta la componente incentivadora que supondr\u00e1 para los delincuentes.<\/p>\nNo dejemos que el GDPR se convierta en un bumerang. El GDPR est\u00e1 concebido para que las organizaciones se tomen en serio el tratamiento de los datos. Un robo no tiene por qu\u00e9 significar que no se le ha prestado atenci\u00f3n. Podr\u00edan haberse tomado medidas, haber reaccionado con diligencia y pese a todo haber sido v\u00edctima de un incidente de seguridad. En ese caso, el reglamento no tendr\u00eda por qu\u00e9 sancionarle (al menos ese deber\u00eda ser el esp\u00edritu). Como bien se insiste entre los profesionales de la ciberseguridad: \u201cla seguridad total no existe\u201d. As\u00ed pues, parece evidente que el objetivo deber\u00eda ser otro: mejorar la capacidad de reacci\u00f3n de la sociedad ante una eventualidad que puede poner en riesgo la seguridad colectiva.<\/p>\n
En la medida en la que los que nos dedicamos a este sector entendamos en toda su dimensi\u00f3n ese mensaje y lo transmitamos a la sociedad podremos combatir estas nuevas amenazas.<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
\u00bfQu\u00e9 es el GDPR? De un tiempo a esta parte est\u00e1n proliferando en las redes sociales, revistas especializadas y medios de comunicaci\u00f3n, numerosas noticias en torno a la inminente aplicaci\u00f3n de la nueva reglamentaci\u00f3n europea GDPR\u00a0y el impacto que tendr\u00e1 en las organizaciones que posean datos personales o profesionales de los usuarios. Gran parte…<\/p>\n","protected":false},"author":3,"featured_media":390,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2,6],"tags":[],"yoast_head":"\n
\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es<\/title>\n<meta name=\"description\" content=\"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es\" \/>\n<meta property=\"og:description\" content=\"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/\" \/>\n<meta property=\"og:site_name\" content=\"all4sec.es\" \/>\n<meta property=\"article:published_time\" content=\"2018-03-18T11:34:27+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2020-06-25T08:58:06+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1280\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Juanjo Galan\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Juanjo Galan\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/\",\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/\",\"name\":\"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es\",\"isPartOf\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg\",\"datePublished\":\"2018-03-18T11:34:27+00:00\",\"dateModified\":\"2020-06-25T08:58:06+00:00\",\"author\":{\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\"},\"description\":\"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.\",\"breadcrumb\":{\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage\",\"url\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg\",\"contentUrl\":\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg\",\"width\":1920,\"height\":1280},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\/\/all4sec.es\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/all4sec.es\/blog\/#website\",\"url\":\"https:\/\/all4sec.es\/blog\/\",\"name\":\"all4sec.es\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/all4sec.es\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9\",\"name\":\"Juanjo Galan\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g\",\"caption\":\"Juanjo Galan\"},\"url\":\"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es","description":"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/","og_locale":"es_ES","og_type":"article","og_title":"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es","og_description":"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.","og_url":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/","og_site_name":"all4sec.es","article_published_time":"2018-03-18T11:34:27+00:00","article_modified_time":"2020-06-25T08:58:06+00:00","og_image":[{"width":1920,"height":1280,"url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg","type":"image\/jpeg"}],"author":"Juanjo Galan","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Juanjo Galan","Tiempo de lectura":"5 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/","url":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/","name":"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n? - all4sec.es","isPartOf":{"@id":"https:\/\/all4sec.es\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage"},"image":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage"},"thumbnailUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg","datePublished":"2018-03-18T11:34:27+00:00","dateModified":"2020-06-25T08:58:06+00:00","author":{"@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9"},"description":"GDPR normativa europea de protecci\u00f3n de datos personales. La extorsi\u00f3n como amenaza en el cumplimiento de la reglamentaci\u00f3n.","breadcrumb":{"@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#primaryimage","url":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg","contentUrl":"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2019\/05\/ransom.jpg","width":1920,"height":1280},{"@type":"BreadcrumbList","@id":"https:\/\/all4sec.es\/blog\/index.php\/2018\/03\/18\/abre-la-normativa-europea-gdpr-la-posibilidad-a-nuevas-formas-de-extorsion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/all4sec.es\/blog\/"},{"@type":"ListItem","position":2,"name":"\u00bfAbre la normativa europea GDPR la posibilidad a nuevas formas de extorsi\u00f3n?"}]},{"@type":"WebSite","@id":"https:\/\/all4sec.es\/blog\/#website","url":"https:\/\/all4sec.es\/blog\/","name":"all4sec.es","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/all4sec.es\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/d8839fb727b62b7c4e8598b89fdaafa9","name":"Juanjo Galan","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/all4sec.es\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/a3f0814447c3b2bad83feb430187bee0?s=96&d=mm&r=g","caption":"Juanjo Galan"},"url":"https:\/\/all4sec.es\/blog\/index.php\/author\/juanjo\/"}]}},"_links":{"self":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/389"}],"collection":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=389"}],"version-history":[{"count":8,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/389\/revisions"}],"predecessor-version":[{"id":673,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/posts\/389\/revisions\/673"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media\/390"}],"wp:attachment":[{"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/all4sec.es\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}