05-08-2021

¿Cuál es la responsabilidad de tu empresa si sufre un ciberataque de Phishing?

¿Qué se entiende por Phishing? ¿Cómo puedes proteger a tu empresa?

El Phishing es un tipo de ciberataque que, generalmente, se comete mediante el envío de correos electrónicos que, aparentemente, provienen de fuentes de confianza y cuyo objetivo principal es robar información confidencial, así como credenciales de acceso.

Actualmente, el phishing se ha convertido en una de las principales amenazas para la seguridad de las empresas. Por ello, se deben realizar las acciones necesarias para proteger a la propia empresa, así como a empleados y clientes frente a este tipo de ciberataques.

Una de las responsabilidades básicas de una organización es garantizar su seguridad, evitando la pérdida de información confidencial y datos sensibles. Algunas de las acciones que se pueden tomar a este respecto so:

1. Utilizar medidas de seguridad para advertir de correos electrónicos sospechosos como, por ejemplo, herramientas de detección automática de posibles e-mails fraudulentos;

2. Adoptar una política de uso del gestor de contenidos web para evitar este tipo de ciberataques.

3. Enseñar y concienciar a los empleados mediante campañas que les permitan identificar y evitar el phishing. En este sentido, el Instituto Nacional de Ciberseguridad (“INCIBE”) cuenta con un “kit de concienciación” que puede ser de utilidad y que se ofrece de forma gratuita;

4. Establecer una política de contraseñas robustas que se cambien con cierta periodicidad.

5. Dar permisos de administración del sitio web solamente a los empleados que realmente van a realizar esta labor y están formados para ello.

6. Proteger los equipos informáticos con los que cuenta empresa para repeler de forma automática este tipo de ataques una vez que ya se están produciendo.

 

¿Qué hacer cuando sufres un ataque de phishing?

En el momento en que alguna empresa es víctima de un ciberataque mediante phishing, lo principal, es modificar la contraseña de acceso del servicio suplantado y cualquier otro servicio en el que se utilicen las mismas credenciales.

También es importante valorar la posibilidad de llevar a cabo las siguientes acciones que el propio INCIBE recomienda:

1. Solicitar al proveedor de alojamiento web que ponga temporalmente offline la página web, para evitar problemas mayores.

2. Cambiar las contraseñas de la página web de todos los administradores y pedir a los usuarios y/o clientes que cambien las suyas.

3. Ponerse en contacto con la policía y con el INCIBE.

4. Realizar una copia cifrada del sitio web con el phishing para facilitarla a la policía junto con la denuncia.

5. Hacer una copia cifrada (para hacérsela llegar a la policía junto con la denuncia) de los registros del servidor donde se puedan ver los accesos de los ciberdelincuentes y de las víctimas que hubieran ingresado sus credenciales, para protegerse de posibles denuncias y tener evidencias de que la empresa ha sido una víctima más.

6. Pasar un antivirus a los equipos que alojan el sitio web en el proveedor.

7. Actualizar el software del gestor de contenidos para evitar tener software vulnerable.

8. Restaurar la página web con la copia de seguridad más reciente.

 

¿Mi empresa tiene algún tipo de responsabilidad?

Las empresas tienen diferentes responsabilidades frente a los ciberataques y por ello es importante que utilicen todas aquellas medidas de seguridad que resulten necesarias para proteger los datos e información que se puedan ver afectados.

Tal y como se señala en el artículo 32 del Reglamento General de Protección de Datos (“RGPD”) las empresas aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo la responsabilidad de proteger los datos e información de sus empleados y clientes mediante las medidas de seguridad que sean necesarias.

La responsabilidad, frente a sus clientes y empleados, en relación con la posibilidad de sufrir un ciberataque es, a grandes rasgos, la siguiente:

1. Responsabilidad laboral: La empresa es responsable frente a todos aquellos empleados que hayan sufrido el ciberataque, estando obligada a la reparación de los perjuicios que se hayan podido ocasionar.

2. Responsabilidad civil: La empresa es responsable de los daños o perjuicios que el ciberataque haya podido causar a sus clientes. Por ello, es recomendable que, en el momento en que se sufra este tipo de ciberataques, se ponga en contacto tanto con los clientes que han podido verse afectados —para advertirles y que procedan a la modificación de sus credenciales— como con aquellos clientes que no lo han sufrido sus consecuencias, para prevenirles sobre los ataques.

3. Responsabilidad penal: Las empresas pueden llegar a ser responsables penalmente por su actuación u omisión, antes y tras el ciberataque, pudiendo realizar la comisión un delito con su actuación ante la falta grave del deber de cuidado o el incumplimiento injustificado de la normativa vigente para la protección de datos e información de sus clientes.

En definitiva, la empresa deberá tomar todas las medidas de seguridad adecuadas y necesarias para evitar cualquier tipo de vulnerabilidad o brecha en la seguridad de sus sistemas y, en particular, utilizar las medidas de seguridad adecuadas para proteger a sus empleados y clientes frente al phishing, así como cumplir estrictamente la normativa legal vigente en materia de protección de datos y riesgos cibernéticos, para evitar así posibles problemas legales en el futuro. Prevenir es mejor que curar.

Newsletter