La Agencia Española de Protección de Datos (AEPD) ha iniciado un expediente sancionador contra Ayesa en relación con el ciberataque que sufrió la empresa a finales de abril de 2024, y que derivó en la exposición masiva de datos personales confidenciales de su plantilla y documentación corporativa en la dark web.
Este procedimiento, registrado como EXP202409350, ha sido incoado tras una denuncia presentada por el sindicato ASC, que acusó a la compañía de no informar adecuadamente a los empleados afectados sobre la violación de seguridad y de vulnerar el artículo 34 del Reglamento General de Protección de Datos (RGPD).
¿Qué motivó el expediente sancionador?
El expediente se fundamenta en la denuncia del sindicato, presentada en mayo de 2024, en la que se señalaba que Ayesa comunicó inicialmente que solo 35 trabajadores habían sido afectados por la filtración, cuando fuentes de terceros sugerían que el número real de afectados era mucho mayor y no se había informado a todos ellos.
Además, la denuncia apuntaba a comunicaciones realizadas por terceros (por ejemplo, la empresa Enel) advirtiendo a empleados sobre el posible compromiso de sus credenciales, lo que, según los denunciantes, no fue gestionado ni comunicado correctamente por Ayesa.
Alcance del ciberataque
El ciberataque fue perpetrado por el grupo de ciberdelincuentes Black Basta, que no solo sustrajo información personal de empleados (incluidos DNI, pasaportes y otros datos sensibles), sino que también publicó un volumen de 4,5 terabytes de datos corporativos en la dark web. Entre estos documentos había proyectos internacionales, actas societarias, escrituras y otros materiales internos de alto valor para la empresa.
La gravedad reside no solo en la cantidad de datos comprometidos, sino en su sensibilidad y en la manera en que la empresa gestionó la comunicación a los afectados, lo que ahora está bajo revisión por parte de la AEPD.
La AEPD ha dado un plazo de hasta doce meses desde la apertura del expediente para resolver el procedimiento sancionador. Si en ese tiempo no se dicta una resolución, el caso caducará y se archivará, de acuerdo con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Mientras tanto, Ayesa deberá responder a las alegaciones y aportar la documentación que considere pertinente al procedimiento. El resultado potencial puede incluir sanciones económicas, obligaciones de mejora de sus procedimientos internos o incluso medidas correctoras sobre la gestión de brechas de seguridad.
Recomendaciones para los afectados
Ante la exposición de sus datos, los trabajadores reciben recomendaciones de organismos como INCIBE (Instituto Nacional de Ciberseguridad):
- Presentar una denuncia ante la Policía Nacional o Guardia Civil si constatan que sus documentos han sido usados de forma indebida.
- Renovar documentos personales como DNI o pasaporte si han sido comprometidos.
- Consultar con la CIRBE del Banco de España para verificar que no se han abierto productos financieros sin su consentimiento.
- Darse de alta en servicios de alerta de phishing, como el programa PhishingAlert de la Dirección General de Ordenación del Juego, para reducir el riesgo de suplantación de identidad.
Este caso pone de relieve la importancia de una respuesta rápida, transparente y conforme a la normativa cuando se produce una brecha de seguridad. No solo es esencial proteger los sistemas frente a ataques sofisticados, sino también garantizar que los afectados reciben información clara y oportuna, tal como exige el RGPD.
En Forlopd ayudamos a cumplir con el reglamento general de protección de datos a empresas, profesionales y entidades de diferente índole. Para ello les asesoramos a la hora de adaptar sus procesos, así como también contamos con la capacidad de guiar para la obtención de la ISO27001 o el Esquema Nacional de Seguridad (ENS). Puedes solicitarnos más información a través de nuestro formulario de contacto.
