El 5 de abril de 2023, el Instituto Nacional de Ciberseguridad (INCIBE) comunica a CECOTEC INNOVACIONES, S.L.U (Cecotec) la publicación de un post de la dark web en el cual una persona ofrece a la venta una base de datos de una empresa española que, aunque no detalla el nombre, parece ser Cecotec. INCIBE aporta a la empresa 17 registros de los datos publicados como muestra para su comprobación.
La empresa inicia una investigación interna en la que reconoce que 6 de los registros facilitados por INCIBE corresponden a datos de personas reales que figuran en su base de datos, pero considera que el resto son datos de prueba y cuestiona la veracidad del ataque. Asimismo, identifica como posible origen de los datos filtrados a una antigua plataforma que utilizaba la empresa entre 2016 y 2020 para el comercio electrónico, la cual había sido cerrada en 2021, aunque seguía siendo accesible para consultas internas por parte de empleados. Con base en esta valoración, Cecotec entiende que la brecha no es relevante, adopta algunas medidas de refuerzo de seguridad y decide no comunicar el incidente a los afectados.
Sin embargo, Cecotec sí decide notificar la brecha a la AEPD, lo que da lugar a la apertura de actuaciones de investigación para determinar su alcance real y la posible responsabilidad de la entidad.
En el marco de dichas actuaciones, la AEPD constata que: (i) existían indicios suficientes desde el primer aviso de INCIBE para considerar la posible existencia de una brecha; (ii) el propio atacante confirmó que la base de datos pertenecía a la empresa y aportó muestras adicionales con datos personales de numerosos afectados; (iii) la plataforma afectada utilizaba un software obsoleto y con vulnerabilidades conocidas; (iv) no existían medidas adecuadas de seguridad, al haberse detectado deficiencias en el control de accesos, ausencia de monitorización efectiva y registros de actividad insuficientes; y (v) los datos personales se encontraban almacenados sin cifrado ni seudonimización.
Como consecuencia, se concluye que la brecha de seguridad había afectado al menos a 1.000 registros de la plataforma, que contenían datos personales correspondientes a 933 personas físicas.
A partir de estos hechos, la AEPD aprecia varias infracciones del Reglamento General de Protección de Datos (RGPD):
Infracción del artículo 5.1.f) del RGPD, al no haberse adoptado los mecanismos y medidas necesarias para garantizar la confidencialidad de los datos personales (como el cifrado o la seudonimización) que habrían impedido que el atacante pudiera visualizar o entender los datos extraídos, cuando se produjo la exfiltración de la plataforma.
Infracción del artículo 32 del RGPD, ya que Cecotec no había adoptado las medidas de seguridad técnicas y organizativas apropiadas para garantizar un adecuado nivel de seguridad de los datos personales contenidos en su plataforma de tienda online. Asimismo, la empresa tampoco acreditó haber realizado un adecuado análisis de riesgos que reflejase los riesgos derivados del tratamiento.
Infracción del artículo 33 del RGPD, dado que la brecha de seguridad fue notificada fuera del plazo de 72 horas establecido en el Reglamento. La Agencia considera que la empresa no había actuado con la diligencia debida, ya que disponía de la información suficiente para apreciar la posible existencia de una violación de seguridad desde las primeras comunicaciones recibidas por parte de INCIBE, y notificar a la Agencia de estos hechos.
Infracción del artículo 34 del RGPD, por no haber comunicado la brecha a los afectados. La AEPD descarta la aplicación de las excepciones previstas en dicho precepto, al considerar que los datos no estaban cifrados ni protegidos adecuadamente; que las medidas adoptadas con posterioridad no evitaban el alto riesgo derivado de la filtración ya producida, especialmente al encontrarse los datos a la venta; y que, en ningún caso, la comunicación a los afectados suponía un esfuerzo desproporcionado.
Por todo lo anterior, la AEPD impone una sanción a Cecotec de un millón noventa mil euros.