La autoridad de control ha impuesto dos sanciones a la entidad financiera VIVUS, una de 200.000 euros por la infracción del artículo 5.1.f) del RGPD (principio de confidencialidad) y otra de 400.000 euros por infringir el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento). Estas sanciones han sido reducidas a 360.000 euros por cuanto la compañía ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
El 17 de febrero de 2023 la entidad notificó una brecha de seguridad a la autoridad de control. En dicha comunicación, puso de manifiesto que había tenido lugar una brecha de confidencialidad, por cuanto se había tenido acceso indebido a datos identificativos y de contacto de clientes y empleados. Posteriormente, en marzo del mismo año, se amplió la notificación indicando, entre otras cuestiones, que si bien la fecha de inicio de la quiebra era desconocida, esta se detectó el 17 de febrero (con ocasión de su comunicación por un cliente); que los datos no estaban cifrados; que se había incrementado el número de afectados (a quienes no se les iba a comunicar nada); que también se había tenido acceso a datos de medios de pago o que dicho ciberataque se llevó a cabo mediante un “ataque de fuerza bruta probando combinaciones de DNI/contraseña y Email/contraseña”.
Posteriormente, debido a que la AEPD ordenó a la entidad la comunicación de dicha brecha a sus clientes, ello se produjo el día 11 de abril de 2023. En relación con esta brecha de seguridad, se han interpuesto diversas reclamaciones ante la autoridad de control por clientes de la entidad por la suplantación de su identidad.
Posteriormente, la entidad ha puesto de manifiesto que los atacantes llevaron a cabo los intentos de acceso mediante el uso del DNI o correo del usuario y contraseña que habían obtenido “a partir de fuentes externas y ajenas” a la compañía. De este modo, una vez accedían al perfil de usuario, solicitaban distintos préstamos que eran aceptados y desembolsados en la cuenta del cliente y contactaban por WhatsApp con este para solicitar la devolución del importe en una cuenta bancaria de su titularidad. Así, las credenciales de uso habían sido obtenidas con carácter previo a la brecha de seguridad.
Con ocasión de dicho ataque, la compañía implementó diversas medidas de seguridad, como el restablecimiento de las contraseñas, la modificación de las políticas de inicio de sesión, la generación de alertas cuando hay intentos fallidos o la implementación del doble factor de autenticación. Asimismo, se efectuó una valoración del incidente en el que, tras un análisis de los riesgos y de las medidas implementadas, se llegó a la conclusión de que no era necesario notificarlo.
Una vez llevadas a cabo las actuaciones de investigación, la AEPD concluye que VIVUS detectó la brecha el 11 de agosto de 2022, pero no la notificó hasta el 17 de febrero de 2023, cuando tuvo constancia de la existencia de 427 afectados; que el análisis del riesgo efectuado no es correcto, por cuanto el valor asignado a algunas de las variables (que llevó a que no se comunicara la brecha) fue inferior al que se debía haber asignado; que únicamente notificó la brecha a los afectados cuando se lo ordenó la Agencia; que no existían análisis de riesgos específicos de la actividad de tratamiento afectada; que las medidas de seguridad implementada para garantizar la identidad al iniciar sesión eran insuficientes o que no existía alerta alguna que permitiese controlar los intentos de inicio de sesión fallidos.
Así, en relación con el principio de confidencialidad infringido, afirma la autoridad de control que los hechos declarados probados (el acceso de los atacantes o el uso de los datos para contactar con los clientes) permiten probar su vulneración. Adicionalmente, se declara que “la combinación de este tipo de datos personales, incluyendo el conocimiento sobre el estado financiero de los clientes, eleva significativamente el nivel de riesgo y las implicaciones de la vulneración de la confidencialidad”, por cuanto toda esta información puede ser utilizada para crear un perfil muy detallado de la situación financiera y personal del afectado, logrando mayor éxito en los fraudes cometidos (y posibilitando la realización de chantaje o manipulación, puesto que estas actuaciones perjudican la reputación financiera del titular).
En este sentido, la AEPD tiene en consideración, como agravantes, la reacción tardía de la entidad desde que tuvo conocimiento de la primera incidencia, así como la consideración de que el sector en el que opera es fundamental la confianza o la seguridad de la información.
Respecto a las medidas de seguridad aplicadas, que deben ser adecuadas en función de los riesgos concretos del tratamiento, indica la autoridad de control que se subestimaron dichos riesgos o la severidad de la brecha con ocasión del análisis del incidente (por asignar erróneamente los distintos valores, tal y como se ha expuesto). Asimismo, se expone que, si bien la aplicación de medidas reactivas es útil (como el doble factor de autenticación), ello, según la AEPD, “revela insuficiencias en la anticipación y mitigación de riesgos para la seguridad de los datos personales” . Así, a pesar de la mejora significativa en la seguridad, se ha acreditado la existencia de carencias en la implementación de medidas preventivas, lo que muestra la “falta de adopción de un marco de seguridad de datos integral y proactivo”.
Puede acceder a la resolución sancionadora aquí.