¿Qué pasa si hackean y le roban mis datos a una empresa?

Todos sabemos que muchos de nuestros datos pululan por Internet sin ningún control. Pero una cosa es eso y otra, que un día nos avisen de que un ciberdelincuente ha tenido acceso al número de nuestra tarjeta, su fecha de caducidad y el código de cifras situado en el reverso –el CVV o CVC–. ¿Qué hacer si, como les ha pasado hace unos días a miles de clientes de Air Europa, nos encontramos de pronto totalmente expuestos a un posible saqueo de nuestros ahorros?

«La importancia del incidente no se mide tanto por el perjuicio que pueda ocasionar al usuario como por el nivel de confidencialidad de los datos sustraídos. Es grave, por ejemplo, el robo de información económica o sanitaria, y ahí nuestro primer derecho es que la entidad hackeada nos avise individualmente. Aunque si cree que así no va a llegar a todos los afectados puede utilizar también su web o los medios de comunicación», señala Iñaki Pariente de Prada, exdirector de la Agencia Vasca de Protección de Datos, profesor de Derecho Digital de la Universidad de Deusto y socio fundador del despacho Dayntic Legal.

Si recibimos esa notificación debemos tomar medidas inmediatamente. Hay que avisar a nuestra entidad bancaria, cambiar de tarjeta y revisar los cargos que nos hagan en la cuenta. Si no lo hacemos –o no en un tiempo prudencial–, no podremos exigir responsabilidades ni a la entidad que ha sufrido el hackeo ni al banco que haya podido autorizar pagos fraudulentos.

De hecho, aunque la información robada no parezca comprometida, también conviene ponerse en alerta cuando sepamos que una entidad a la que hemos dado algún dato ha tenido una brecha de seguridad. «Hay ocasiones en que no somos conscientes de nuestro grado de exposición. Hace años robaron millones de contraseñas de LinkedIn. A priori, puedes pensar que con eso no pueden hacer mucho, pero las contraseñas son muy jugosas porque mucha gente utiliza las mismas para todo. Aquí es importante saber que hay dos tipos de ciberdelincuentes: los que hackean y obtienen unos datos que secuestran (encriptan) o venden en la Internet profunda, y los que los compran y se dedican a cruzarlos con otras bases de datos robadas de sitios de los más dispares. Si de LinkedIn o Facebook obtienen tu nombre, apellidos, domicilio y una clave que empleas en más de un sitio, luego suman tu DNI de cuando te presentaste a una oposición o del hackeo a tu gimnasio o al equipo de fútbol del que eres socio, y después roban datos a un comercio en el que has hecho una compra o de una suscripción… Nuestro nivel de aceptación con los datos que facilitamos a terceros es altísimo», advierte el experto.

Si sospechamos que alguien ha tenido acceso a información sensible por la mala praxis de un tercero, podemos interponer una reclamación ante alguna de las agencias de protección de datos. «Allí determinarán si ha habido negligencia, que no siempre es el caso. La seguridad total no existe. En caso de haberla, la entidad sería multada y nosotros tendríamos una declaración con la que iniciar una reclamación, que puede hacerse directamente a la empresa, a través de las oficinas del consumidor, por vía judicial (civil o penal) o un procedimiento arbitral», explica Pariente de Prada.

Admisión de culpa

«Si, como ocurre con Air Europa, la empresa reconoce que le han robado nuestros datos, podremos reclamar independientemente de su nivel de seguridad. Si este era bueno se librará de la multa administrativa, pero si hemos sufrido un perjuicio económico nos tiene que indemnizar. En este caso, para empezar, tienen que cubrir los gastos que implique cambiar de tarjeta», explica Rubén Sánchez, secretario general de Facua. «La aceptación que las empresas tengan de su culpa es más o menos libre, depende de la autovaloración que hagan de sus propias medidas de seguridad», matiza el experto.

Si no hay este reconocimiento, conviene hacerse a la idea de que sacar adelante estas reclamaciones no es fácil, ya que hay que demostrar que ese perjuicio se derivó necesariamente del robo de datos que sufrió la entidad a la que demandamos, que los hackers no pudieron obtener los datos de ninguna otra manera. «Las reclamaciones individuales son muy complicadas, lo mejor es ir de la mano de una asociación de consumidores o una plataforma de afectados. También es cierto que cuando las cantidades son pequeñas muchas veces es el banco el que, por evitar la mala reputación, se hace cargo de los pagos indebidos hechos por él», señala Pariente.

• Temas
• Banca online
• Ciberataque
• Hackers