Cómo los hackers utilizan el RGPD a su favor.

RGPD representa el mayor paso adelante para la privacidad personal desde que Internet se convirtió parte de la vida cotidiana. Darles a las personas el control de los datos personales que están en manos de terceros, les permite ahora elegir la forma en que se utiliza esa información. Y al especificar multas enormemente punitivas, la UE ha demostrado que se toma muy en serio la cuestión de la intimidad personal.

Pero, así como los particulares recuperan el control de sus datos personales de las empresas privadas, el RGPD ha abierto nuevas oportunidades para que los ciberdelincuentes exploten a esas mismas personas. Hemos descrito 3 escenarios y nuestros consejos sobre cómo abordarlos

Correoselectrónicos de phishing disfrazados de avisos de RGPD

En el período previo a la fecha de puesta en marcha de RGPD, es probable que se haya visto inundado de cientos de correos electrónicos. Aterrorizadas por las consecuencias de retener datos personales sin permiso, las marcas comenzaron a enviar correos electrónicos a todos los que figuraban en sus listas de contactos para informarles de los cambios en sus políticas de privacidad y ofrecerles la oportunidad de optar por futuras comunicaciones. Incluso ahora, estos mensajes siguen llegando, ya que los que empezaron tarde intentan apresurarse a cumplir con las normas.

El gran volumen de correos electrónico relacionados con RGPD proporciona a los ciberdelincuentes una buena oportunidad para distribuir malware o robar información personal confidencial. Ya que su propia bandeja de entrada estaba inundada de solicitudes de suscripción, ¿cuántas veces comprobó si el mensaje y los enlaces eran legítimos?

Al crear un aire de urgencia ("debes renovar ahora o perdértelo para siempre"), los hackers tienen una muy buena oportunidad de engañar a la gente para que haga clic donde realmente no deberían. Especialmente cuando los correos electrónicos de phishing están oscurecidos por tantos mensajes legítimos.

Consejo de Advantio:
1. Revise cuidadosamente cada correo electrónico que reciba. ¿Reconoce la fuente y es legítimo el correo electrónico del remitente? Sólo los servicios que haya utilizado antes le pedirán la opción de inscripción.
2. Si está enviando este tipo de correos electrónicos como empresa, asegúrese de utilizar el formato, el diseño y un correo electrónico del remitente que sea familiar para los destinatarios.

Mayor riesgo de chantajecorporativo

Las multas potenciales por infringir el RGPD son enormes: hasta 20 millones de euros o el 4% del volumen de ventas mundial, lo que sea mayor. Obviamente, las empresas harán todo lo posible para evitar ser juzgadas.

Anteriores ataques con programas de rescate (ransomware) han demostrado que hay suficientes víctimas que pagan el rescate para que la técnica sea rentable para los hackers. Pero con la amenaza añadida de acciones legales, los directores de tecnología y los directores de sistemas están sometidos a una presión aún mayor si se violan las defensas de TI de las empresas.

Las violaciones de datos tienen un efecto significativo en la reputación corporativa, añadiendo un incentivo adicional para pagar a los hackers en lugar de anunciar públicamente los fallos de seguridad. PonemonResearch sugiere que el  daño a una marca y reputación después de un hacking reduce los ingresos brutos hasta en un 31% -mucho menos que la multa máxima del 4% de RGPD que se impone al volumen de ventas.

Esperamos que los hackers aprovechen esta ventaja psicológica adicional como parte de futuros ataques. Frente a la opción de pagar a los hackers un rescate de 500.000 euros, o una multa de varios millones de euros para el comisionado de información (más las posibles consecuencias negativas para las relaciones públicas), algunas empresas pueden decidir que el rescate es preferible.

No informar sobre una violación de datos es obviamente ilegal según el RGPD, pero los ciberdelincuentes esperan que los responsables de la toma de decisiones de C-suite decidan que el riesgo de ser procesados es preferible a que la marca sea dañada públicamente.

Consejo de Advantio:
1. Asegúrese de contar con una política y un proceso para las brechas de datos.
2. Capacite a sus equipos sobre el RGPD y cómo pueden garantizar que los datos personales permanezcan seguros.
3. Documente sus procesos y actúe en conformidad.
4. Establezca una relación con la autoridad local de protección de datos. Están aquí para ayudar, no sólo para castigar.

Aumentar la proactividad

El RGPD es una actualización muy necesaria de la legislación anterior sobre protección de datos y obligará a las organizaciones a ser más cuidadosas con los datos personales de las personas físicas. Desafortunadamente, estos nuevos marcos también proporcionan a los delincuentes una nueva ventaja contra su negocio.

Para evitar problemas futuros, los Directores de Estrategia tendrán que reforzar las defensas para el cumplimiento inicial del RGPD, antes de crear un nuevo programa de mejora continua para identificar y corregir las debilidades de seguridad antes de que puedan ser explotadas. Y como siempre, los empleados necesitan ser entrenados para ser cuidadosos con los correos electrónicos entrantes - particularmente ahora que el volumen de mensajes entrantes es tan alto.

Consejo de Advantio:
1. El RGPD es una preocupación de toda la organización. Asegúrese de que todos los equipos que manejan datos personales estén capacitados.
2. Este es un viaje hacia el cumplimiento. El mantenimiento y la supervisión constante son fundamentales.

Un buen lugar para comenzar su viaje RGPD o para comprobar si ha cubierto la mayoría de las eventualidades es nuestro Cuestionario de Mapeo RGPD. Más allá del TI y las redes, describe las preguntas que cada uno de sus departamentos debe responder cuando se trata de procesos de datos personales.