Las empresas están caminando por un terreno fangoso ante el nuevo paradigma de los criminales de internet. Reconocer que los datos de miles de clientes han sido sustraídos no debe ser fácil cuando se corre el riesgo de perder la absoluta credibilidad como marca. Sin embargo, la situación a día de hoy no es tan peliaguda como podrá ser en un futuro.

Hasta la fecha, los clientes a título particular no podían comprobar si su correo electrónico, con el consecuente conjunto de información, formaba parte del botín de los ciberdelincuentes, a pesar de que algunas empresas hubieran reconocido un robo masivo de datos debido a una brecha de seguridad ya resuelta.

Por lo menos, no parecía posible en España hasta la próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) que será de obligado cumplimiento el próximo año. Troy Hunt, director regional de Microsoft en Australia, harto de los múltiples descuidos de los servicios de internet, se ha adelantado con un proyecto particular para que los usuarios puedan comprobar si algunos de sus emails están entre los grandes robos masivos conocidos hasta la fecha.

«Have I been pwned?» es un portal que comprueba el email que le indiques con una base de datos que recopila todos los correos electrónicos sustraídos en grandes robos, fruto de una brecha de seguridad, como la que tuvo lugar en LinkedIn en 2016 o en tumblr en 2013. Su continua exacerbación por lo que considera «la mayor brecha que ha puesto las cuentas de los clientes: Adobe» le llevó a trabajar en esta idea, como así lo narra en su página.

«Con frecuencia realizaba análisis de las credenciales de los usuarios tras las brechas de seguridad y seguía encontrando las mismas cuentas expuestas una y otra vez. A menudo, con las mismas contraseñas que ponían las víctimas en otras cuentas, exponiéndose a un mayor riesgo», argumenta además sobre el peligro que esos datos pueden ser puertas de entrada a otros servicios en los que los usuarios estén registrados.

Cómo denunciarlo

Una vez que el usuario corrobore si es una de las víctimas de ese robo de datos, por culpa de una brecha seguridad, la pregunta que sobreviene a continuación es, ¿tengo derecho a denunciar a la empresa por ese fallo? Pablo F. Burgueño, abogado especializado en derecho Tecnológico y fundador de NevTrace, señala a ABC que «si una empresa ha sufrido una brecha de seguridad supone que ha omitido su deber de secreto» y por tanto está «cometiendo una infracción grave».

Si el usuario quiere iniciar un proceso por la vía legal puede «pedir a la Agencia Española de Protección de Datos (AGPD) que abra un procedimiento de inspección» para investigar desde dentro o fuera de la empresa. Sin embargo, solo las empresas españolas están actualmente obligadas a facilitar la información que exija la institución como también solo pueden ser multadas las empresas nacionales, a pesar de que el regulador pueda investigar en cualquier parte del mundo.

No obstante, «puedes ir contra Yahoo como particular, aunque la agencia no pueda multar. Si puedes probar que se te ha ocasionado un daño mediante un peritaje, puedes ir contra la empresa. En ese caso, no importa en qué parte del mundo se encuentre», se le puede demandar y exigir una indemnización por daños, como explica Burgueño.