«La JCCM no ha hecho los deberes en materia de protección de datos». Esta es la conclusión del estudio de privacidad web realizado por Suments Data que, a partir del análisis de 10961 documentos publicados en la Sede Electrónica de la Junta de Comunidades de Castilla-La Mancha, se han detectado 5743 potenciales filtraciones de datos personales.
Nombres, direcciones de correo electrónico, números de teléfono o ubicaciones son algunos ejemplos de la información encontrada en los metadatos de los documentos analizados en el estudio, todos ellos publicados en el dominio original (https:www.//jccm.es/), así como en sus 68 subdominios. Atendiendo al número de documentos analizados (10961) y filtraciones encontradas (5743), uno de cada dos documentos analizados en el sitio web de la JCCM contiene potenciales filtraciones de datos personales, señalan desde Suments Data.
“Cualquier usuario de internet con malas intenciones podría hacer un acceso no autorizado a los datos personales de los trabajadores y colaboradores de la Junta”, señala Javier Moncayo, Ingeniero Industrial y CEO de Suments Data, que ha liderado este estudio para evaluar el alcance de la tecnología que desarrollan en su compañía.
Filtrados a la página web en forma de metadatos, los datos personales interceptados estaban “escondidos”, pero no por ello ocultos o inaccesibles. Los metadatos son etiquetas que facilitan la búsqueda y almacenamiento de información y su uso es muy extendido en bibliotecas, archivos y contenidos del entorno digital. Cualquier archivo contiene metadatos, de forma que los usuarios pueden acceder a ellos sin necesidad de tener demasiados conocimientos de informática.
Sin embargo, si los metadatos contienen información de carácter personal, su acceso no autorizado puede desencadenar en brechas de ciberseguridad y ataques como el phising, donde los cibercriminales hacen una suplantación de identidad con el objetivo conseguir información confidencial o clics en enlaces maliciosos. Sobre la posibilidad del uso de estos metadatos para actividades fraudulentas, Javier apunta que “si se logra asociar varios tipos de datos personales, con un sujeto particular, entonces ya es posible iniciar actividades criminales como una suplantación de identidad. Si a esto sumamos datos considerados como sensibles, el ataque podría tener aún más nivel de detalle”.
¿Cómo han llegado todos estos datos ahí? Según los datos obtenidos por el equipo de Suments Data, alrededor de un 70% de los datos encontrados son publicados de manera involuntaria en labores de documentación de los trabajadores. Además, en ocasiones estos datos implican incluso a terceros como proveedores o entidades colaboradoras. El otro 30% de los datos son difundidos deliberadamente por personal de la entidad en cuestión, que bien no ponen en riesgo la privacidad de personas, o bien se trata de datos de índole público como alias, nombre de la institución o acrónimos.
Las potenciales filtraciones se han encontrado principalmente en archivos de tipo PDF y JPEG, siendo los archivos de imágenes con extensión “.jpg” aquellos que contienen mayor número de datos considerados como “sensibles” en el estudio ya que, en asociación con otros datos, pueden suponer una brecha de seguridad mayor (coordenadas GPS, direcciones, etc).
Incumplimiento de la normativa de protección de datos
En mayo de 2018 se empezó a aplicar en la Unión Europea el Reglamento (UE) 2016/679, General de Protección de Datos, conocido en siglas como RGPD. En el artículo 4, apartado 12, de esta normativa se hace referencia a la “violación de la seguridad de los datos personales”, que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos”.
«La Junta demuestra irresponsabilidad con la mala gestión de sus metadatos. Del análisis que hemos hecho de su sitio web se deduce que está muy lejos de cumplir con la normativa sobre privacidad que regula el RGPD», apunta Javier. En el caso de que ocurra una de estas violaciones o exista una posible filtración de datos personales, el citado reglamento indica que las organizaciones, ya sean públicas o privadas, tienen el deber de notificar a la autoridad de control, en este caso la Agencia Española de Protección de Datos, sin demora y a más tardar 72 horas después de que la organización haya tenido constancia de ello.
Javier lamenta que “es una vergüenza que una administración pública no esté a la altura a la hora de gestionar sus metadatos, esto es indispensable para proteger la privacidad de sus trabajadores y colaboradores. Ya es bastante terrible que las empresas hagan una mala gestión de nuestra privacidad, por eso la administración pública debería ser un ejemplo de buenas prácticas en este ámbito”.
