Informe

Filtración de datos: los usuarios son la víctimas

Banco Santander, Iberdrola, Telefónica, Decathlon, Ticketmaster... en los últimos meses algunas grandes compañías han sido víctimas de ciberataques viéndose comprometidos infinidad de datos de miles de clientes. En muchos casos, esto ha tenido pocas consecuencias para la empresa, más allá de la multa; pero ¿qué pasa con los usuarios? En el Día de Internet segura, te damos las claves para protegerte mejor.

Información técnica:
Patricia Illana Ruiz
Editora:
María José Ortega
11 febrero 2025
filtracion de datos de los usuarios

Índice de contenidos

En este artículo encontrarás información sobre:

En  el último año las multas por fallos de seguridad han sufrido un aumento drástico del 1.471 %, pasando de 821.800 euros en 2022 a 12.970.000 en 2023. Esto lo que nos sugiere es un incremento de incidentes de seguridad o de su detección. 

Lamentablemente este tipo de hackeos suele anticipar intentos de estafas masivas, donde se suplanta la identidad de empresas bien conocidas para conseguir los datos bancarios del cliente y realizar cargos a su costa. Los ciberdelincuentes utilizan los datos filtrados para crear fraudes más creíbles, ya que al saber a qué servicios estamos suscritos o de qué entidades somos clientes, es más fácil que la gente caiga en sus trampas.

A continuación te contamos cuántos datos se filtraron el año pasado, qué consecuencias tiene para el consumidor o cómo deber actuar una empresa ante una filtración de datos personales de sus clientes, entre otras cosas.

 

Volver arriba

Cómo se producen las filtraciones

Hoy en día, usamos multitud de servicios en línea, como la banca digital, el correo electrónico, las tiendas online o las redes sociales. Todas estas empresas almacenan enormes cantidades de datos personales que resultan muy atractivos para los ciberdelincuentes. Cuando las medidas de seguridad de una empresa fallan, los atacantes pueden acceder a parte o a la totalidad de esos datos, ya sea para publicarlos en internet o para venderlos en la dark web.

Y ¿qué implica exactamente una filtración de datos? En términos simples, significa que tu información personal queda expuesta en internet, accesible para cualquiera que quiera utilizarla de forma indebida.  

Datos filtrados en 2023

Impacto del scam en España

En España se recibieron 2.004 notificaciones de brechas de seguridad de los datos. El 82% pertenecían al sector privado y un 18% al público. Los Las brechas que afectan a más usuarios son ransomware e intrusiones en sistemas de información. Las sanciones más importantes fueron para Caixabank, Openbank, BBVA.

multas por temas

En OCU nos preocupa que las empresas no asuman suficiente responsabilidad en la protección de los datos personales de sus clientes porque en muchos casos estas violaciones de seguridad tienen pocas consecuencias para ellas, unas multas de la Agencia Española de Protección de Datos (AEPD), creando así un entorno de impunidad. 

Sin embargo, nadie piensa en resarcir al consumidor afectado cuando las consecuencias para él si pueden ser negativas, como verás a continuación.

Consecuencias negativas para el consumidor

Cuando ocurre una filtración de datos, los ciudadanos pueden enfrentarse a diversas consecuencias negativas que afectan su privacidad, seguridad y, en algunos casos,  su economía. Veamos: 
  • Suplantación de identidad: Con los datos personales obtenidos, los delincuentes pueden abrir cuentas bancarias a nombre del afectado, solicitar préstamos o, incluso, realizar transacciones fraudulentas. Esto no solo conlleva un impacto económico, sino también consecuencias a largo plazo en el historial crediticio y problemas legales.
  • Estafas y engaños: Los datos filtrados, como números de teléfono o direcciones de correo electrónico, pueden ser utilizados para enviar correos electrónicos o mensajes de texto fraudulentos, conocidos como phishing, con el objetivo de obtener más información confidencial, como contraseñas o datos bancarios.
  • Acceso no autorizado a cuentas: Si las contraseñas de servicios en línea no están protegidas de manera adecuada, los atacantes pueden obtener acceso a cuentas bancarias, redes sociales o servicios online. Este acceso no solo les permite realizar compras no autorizadas, sino que también puede exponer a los usuarios a la extorsión o a la manipulación.
  • Venta de datos en el mercado negro: Una vez que los datos personales han sido obtenidos, pueden  venderse en mercados ilegales, lo que abre la puerta a más fraudes, campañas de spam y otros ataques cibernéticos.
  • Impacto emocional: El hecho de saber que la información personal está comprometida puede generar una sensación de vulnerabilidad, ansiedad y estrés. Este tipo de violación de la privacidad tiene efectos directos en el bienestar emocional de las personas afectadas.

Como ves el impacto de una fuga de datos depende del tipo de información  que se haya comprometido. Te recordamos que cualquier  pago que realice un usuario bajo los efectos de un engaño se considera no autorizado y, por tanto, deberá ser reembolsado automáticamente por el banco.  

INFÓRMATE DE LOS ENGAÑOS MÁS COMUNES

Volver arriba

Cómo debes actuar

En caso de una filtración de datos, es fundamental en primer lugar que compruebes qué información ha sido comprometida (tienes derecho a solicitar a las empresas los datos que poseen de ti) y, además debes tomar medidas para proteger tu seguridad, porque según nuestra encuesta de hábitos de riesgo no somos tan cuidadosos como debiéramos, como puedes ver en el gráfico.

hábitos de riesgo extendidos entre los consumidores

Primero, pon en práctica algunas medidas preventivas

  La protección de nuestra privacidad no debe depender solo de las empresas, los usuarios también debemos ser proactivos. Así, te recomendamos:
  1. Practicar egosurfing regularmente, estableciendo alertas (por ejemplo, en Google Alerts) que te avisen de cuando algún dato personal (tarjeta, DNI, nombre...) aparece en internet. 
  2. Usar un gestor de contraseñas para crear claves seguras, únicas y mantenerlas actualizadas.
  3. Activar la autenticación en 2 pasos siempre que sea posible, que consiste en añadir un factor extra de seguridad, además de la contraseña, como podría ser un código enviado al móvil o una huella dactilar.
  4.  Comprobar periódicamente nuestras cuentas en herramientas para detectar filtraciones o en el propio antivirus.
  5. Utilizar correos alternativos para registrarte en servicios puntuales, así minimizas los riesgos de exposición.

MEJORES ANTIVIRUS

Y si se han filtrado tus datos... actúa

Lo aconsejable es que, en función de los datos que se hayan filtrado, lleves a cabo ciertas acciones:
Contraseñas: Cambia las filtradas y las similares utilizadas en otros servicios.
Correo electrónico o teléfono: No hagas clics en enlaces de correos electrónicos, SMS o WhatsApp relacionados con esa compañía que te puedan parecer sospechosos y aumenta la precaución en llamadas telefónicas que recibas de ella o de compañías relacionadas.
Datos personales: Practica egosurfing, te permitirá saber qué información hay sobre ti en la Red. Y, en caso de que, al realizar la búsqueda, hayas encontrado información personal que no quieres que sea pública en internet, puedes ejercer tu “derecho al olvido” mediante la AEPD
Datos bancarios: Notifica a tu banco para bloquear tarjetas y supervisar actividades fraudulentas.

Y si detectas una actividad sospechosa, consúltala con el INCIBE en el 017 (Línea de Ayuda en Ciberseguridad). 

ASÍ PUEDES INDENTIFICAR EL PHISHING

Volver arriba

Un sistema de protección deficiente

Las empresas e instituciones que gestionan la información personal tienen la responsabilidad de protegerlos. 

los usuarios deben tomar medidas

Así, según el Reglamento General de Protección de datos:

  • La empresa que sufre un robo tiene la obligación de comunicar esta brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en menos de 72 horas. 
  • La normativa solo obliga a comunicar estas brechas de datos a las personas afectadas sin dilación indebida, cuando entrañe un “alto riesgo” para los derechos y libertades de las personas físicas. 
  • La forma de comunicación debe ser preferentemente de forma directa (por teléfono, correo electrónico, SMS, correo postal…). Pero cuando la comunicación directa suponga un esfuerzo desproporcionado con relación a los riesgos para los derechos y libertades que están sufriendo los interesados, se podrá realizar una comunicación indirecta a través de avisos públicos, que ocuparán un lugar destacado, de forma que en ningún caso puedan pasar desapercibidos. 
  • Por último, cuando la AEPD considera que la empresa no ha cumplido su deber de notificación o que los datos no han sido custodiados correctamente, puede imponer multas administrativas en función del volumen de negocio de la empresa. 

Pues bien, pese a que la misma AEPD advierte que “una brecha de datos personales puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales”, esta normativa nos parece un poco laxa porque, por un lado, parece que las sanciones impuestas por la AEPD no logran generar el impacto necesario para que las compañías sientan una presión real para proteger más adecuadamente los datos y, por otro, no se ocupa de resarcir al consumidor de manera efectiva, que es el que sufre las consecuencias de ver sus datos expuestos. 

De ahí que consideremos que:

  • El afectado tiene derecho a ser indemnizado por el daño moral y en su caso por el perjuicio sufrido cuando se ha producido hackeo a una empresa.
  • Y que las empresas afectadas siempre se lo comuniquen a los usuarios sin dilación con el fin de prevenir fraudes online.
Volver arriba

Recomendado para ti

No te pierdas nada
Descubre información clave sobre lo que te interesa Aceptar cookies te dará acceso a una información más personalizada.
ocu Blurred background no cookies
Contenidos relacionados

Guía de compra

Comparadores

Consejos

Ventajas exclusivas

OCU Informa