Última revisión
Resolución de la Agencia Española de Protección de Datos E-12007-2019 de 20 de julio de 2020
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 20/07/2020
Num. Resolución: E-12007-2019
Cuestión
Sector:1 / 13
Procedimiento Nº: E/12007/2019
940-0419
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO : Las actuaciones de inspección se inician por...
Contestacion
1/13
? Procedimiento Nº: E/12007/2019
940-0419
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO: Las actuaciones de inspección se inician por la recepción en la Agencia
Española de Protección de Datos (en adelante AEPD) de un escrito de notificación de
brecha de seguridad de los datos personales remitido por Caja Rural de Zamora
Cooperativa de Crédito (en adelante Caja Zamora) en el que informan a la AEPD de
que, con fecha 27 de noviembre de 2019, un cliente de la entidad les comunica que ha
recibido un correo electrónico remitido desde la dirección informando
de que disponen de sus datos personales junto con datos de otros clientes de la
entidad bancaria.
En la notificación adicional de fecha 10 de enero de 2020, Caja Zamora aporta Informe
de la brecha de seguridad y copia del escrito de comunicación a los afectados remitido
por correo electrónico.
En la notificación adicional de fecha 14 de enero de 2020, Caja Zamora aporta
denuncia interpuesta ante la Dirección General de la Policía en esa misma fecha, en el
que manifiesta que -según un cliente de la entidad- un hacker (?***HACKER.1?) ha
robado datos a Caja Zamora y que dicha información ha sido publicada en el periódico
***PERIÓDICO.1. Asimismo, informan de que el servidor afectado corresponde al
cedido a la empresa encargada del tratamiento ?Casado, Bueno y De Dios, S.L.?
habiéndose comprometido dos bases de datos de clientes y currículos.
SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos objeto
de la notificación, teniendo conocimiento de los siguientes extremos:
ANTECEDENTES
Fecha de notificación de la brecha de seguridad de datos personales: Notificación
inicial el 29 de noviembre de 2019 y dos notificaciones adicionales en fechas 10 y 14
de enero de 2020.
ENTIDADES INVESTIGADAS
CAJA RURAL DE ZAMORA COOPERATIVA DE CRÉDITO, con NIF F49002454 con
domicilio en Avda. Alfonso IX número 7, 49013 Zamora.
RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN
1. Con fecha 23 de diciembre de 2019 se solicitó información a Caja Zamora y de las
respuestas recibidas entre los días 7 y 14 de enero de 2020 se desprende lo
siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/13
Respecto de las entidades intervinientes
? Caja Zamora, tuvo subcontratado el alojamiento y mantenimiento del sitio
web de Caja Zamora denominado desde el 1 de septiembre de 2008
hasta mayo de 2016 con el proveedor de servicios en calidad de encargado del
tratamiento ?Casado, Bueno y De Dios, S.L.?, entidad que gira con el nombre
comercial JAUS.
En mayo de 2016, Caja Zamora decide integrar el citado sitio web dentro del entorno
del Grupo Caja Rural, tarea encargada al mismo proveedor de servicios (JAUS), y en
mayo de 2017 Caja Zamora decide internalizar el servicio de mantenimiento del sitio
web ya alojado en el entorno del Grupo Caja Rural, dejando al proveedor
de servicios JAUS el alojamiento y el mantenimiento del sitio web así
como la gestión de las redes sociales. A tal efecto, en fecha 27/05/2016 se modifica el
contenido del contrato inicial de encargado del tratamiento mediante la ?Adenda al
contrato de prestación de servicios suscritos entre C.R. Zamora y Casado, Bueno y de
Dios, S.L.?. A este respecto se ha aportado copia del contrato suscrito de fecha 1 de
septiembre de 2008 y la Adenda mencionada.
A su vez, JAUS subcontrata el servicio con la empresa ?Bluefactory Community,
S.L.U.? (en adelante, Bluefactory) que a su vez subcontrata a la entidad ?Soluciones
Web Online, S.L.U.? (en adelante, Profesional Hosting).
? Tal y como consta en Axesor, la entidad ?Casado, Bueno y De Dios, S.L.?
(JAUS) es una microempresa cuya actividad principal es: actividades
profesionales, científicas y técnicas.
? La empresa ?Bluefactory Community, S.L.U.? es una entidad especializada
en diseño de imagen corporativa, diseño gráfico y diseño de sitios webs.
? La entidad ?Soluciones Web Online, S.L.U.? es una empresa especializada
en actividades de alojamiento (hosting).
? La entidad ?Rural Servicios Informáticos, S.L.? (en adelante, RSI), es
proveedora de servicios informáticos de Caja Zamora y adscrita al Grupo Caja
Rural, tal y como consta en su web que gestiona más de 79 sucursales del Grupo
Caja Rural al que pertenece Caja Zamora.
Respecto de la cronología de los hechos
Caja Zamora ha aportado informe sobre la brecha notificada en el que expone lo
siguiente:
? El 27 de noviembre de 2019, un cliente de Caja Zamora recibe un correo
electrónico de un supuesto hacker que le indica que tiene información personal
suya y parece que tiene su origen en una brecha de seguridad en la Banca
Electrónica del Grupo Caja Rural (Ruralvía). Por este motivo el cliente, en fecha
28 de noviembre, contacta con la directora de su oficina de Caja Zamora que a su
vez contacta, vía telefónica, con el Departamento de Informática exponiendo los
hechos. Ante la falta inicial de información fehaciente se considera que es un
intento de fraude sobre el cliente del tipo Phishing. No obstante, el Delegado de
Protección de Datos de Caja Zamora contacta con el cliente para que remita el
correo recibido.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/13
Una vez analizado el correo remitido por el cliente, inicialmente se descarta una
posible una brecha de seguridad de Banca Electrónica dado que se detectan dentro
del correo información sobre no clientes, información sobre clientes inactivos, e
información sobre clientes que no disponen de Banca Electrónica.
Caja Zamora ha aportado correo del cliente en el que figura como remitente
y remitido a varios destinatarios entre los que se encuentra el cliente
(anonimizados por la AEPD). En el cuerpo del correo figuran datos
personales de, al menos, dieciocho personas con datos de nombre y apellidos, sexo,
fecha de nacimiento, domicilio, dirección de correo electrónico y un campo codificado.
? El 29 de noviembre de 2019, se recibe una llamada de la Delegada de
Protección de Datos de RSI, informando del anuncio por parte de un hacker de la
brecha en la Banca Electrónica del Grupo Caja Rural (Ruralvia). Asimismo, indican
que parece que la brecha está relacionada sólo con Caja Zamora.
RSI también informa que otra sociedad del Grupo (Banco Cooperativo Español) ha
recibido una llamada del periódico ***PERIÓDICO.1 indicando que dispone de una
base de datos de clientes donde figura, entre otros datos, la clave de acceso a la
Banca Electrónica.
RSI se pone en contacto con la empresa especializada en seguridad informática
Grupo S21sec Gestión, S.A. (en adelante S21sec) para que comprueben si
efectivamente se trata de un ataque sobre la Banca Electrónica (Ruralvía). Una vez
analizada la información parece que la brecha está relacionada solamente con Caja
Zamora no así con la Banca Electrónica dado que el hash de las contraseñas
publicadas no se corresponde con los procesos de generación de los hash de Banca
Electrónica.
Dentro del análisis se estudia la auditoría realizada por Caja Zamora en agosto de
2019 sobre los dominios:
***URL.1
***URL.2 y
***URL.3
El primer análisis ya descarta el acceso indebido al dominio www.cajaruraldigital.com
Se analiza también la notificación de la brecha a la AEPD con la información inicial que
se dispone hasta este momento.
? El 30 de noviembre de 2019 se continua con el análisis de las otras webs:
? ***URL.2
***URL.3
Se realizan pruebas de intrusión sobre los dos dominios.
Caja Zamora se pone en contacto telefónico con el proveedor del servicio JAUS, el
cual proporciona las credenciales de acceso al Panel de Control donde se aloja
***URL.2. Se detecta la existencia de una carpeta en este servidor denominada
(dominio oculto) que contiene lo que parece una copia de la antigua
página web de Caja Zamora. En la carpeta se observa la existencia de dos bases de
datos, y una de ellas parece ser la fuente de los datos notificados por el hacker dado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/13
que coincide exactamente con la información filtrada. Esta base de datos contiene 643
registros.
Se procede al cierre de los servicios de este servidor para evitar la exposición de la
información, cierre realizado a las 13:00 horas por S21sec por orden de Caja Zamora.
El INCIBE contacta mediante correo electrónico con RSI para solicitar información
sobre la brecha, notificación respondida por RSI.
? 1 de diciembre de 2019 se intenta obtener más información sobre el
servidor con objeto de planificar un clonado y analizar las actividades llevadas a
cabo por el hacker.
Se notifica la brecha al proveedor JAUS quien manifiesta, según figura en el informe
aportado y elaborado al efecto, que Caja Zamora tiene contratados desde el año 2017
los alojamientos de dos webs, entre ellas , estando a su vez subcontrato
por JAUS con la empresa Bluefactory, que a su vez subcontrata a la entidad
Profesional Hosting. Manifiestan que ni JAUS ni ninguna de las empresas
subcontratadas realizan tareas de mantenimiento o gestión de ese dominio.
Asimismo, JAUS manifiesta que la antigua web (***URL.1) junto con los contenidos se
ubicaron ocultos bajo el alojamiento de:
con la aceptación de Caja Zamora y en ningún momento se les solicitó el borrado de la
información allí disponible.
A este respecto, el dominio consta creado con fecha 4 de abril de 2017,
como registrante Bluefactory y registrado con privacidad ?redacted for privacy?.
Una vez notificada la brecha a JAUS, el responsable de la empresa Bluefactory, indica
que ha vuelto a poner en servicio la página web. Inmediatamente se les requiere
detener los servicios y se informa de la necesidad de que el servidor esté inaccesible
para evitar la exposición de la información.
? El 2 de diciembre de 2019, el Delegado de Protección de Datos de Caja de
Zamora se desplaza a RSI para realizar el clonado del servidor que aloja la web
pero finalmente no es posible acceder al servidor. Bluefactory les informa que este
servidor está alojado bajo el control de la empresa Profesional Hosting.
Se analizan las dos bases de datos encontradas observando que la segunda base de
datos parece contener antiguos currículos enviados desde un formulario web en la que
aparecen contraseñas sin cifrar.
Se solicita información de todos los logs del servidor a JAUS.
Se realizan búsquedas de las bases de datos comprometidas en todos los Sistemas
de Caja Zamora con el fin de explorar todos los escenarios probables.
Se analizan los resultados del último análisis de vulnerabilidades realizado sobre los
sistemas internos de Caja Zamora sin obtener ninguna evidencia sobre los hechos
producidos.
? El 3 de diciembre de 2019 se procede a la búsqueda del origen de los
datos y se descubre que en la antigua página web había dos
opciones que coinciden con la información expuesta: ?Actualiza tus datos?, (desde
agosto de 2012 hasta el cierre de la página en 2016) que se corresponde con la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/13
información de la primera base de datos, y ?Trabaja con nosotros?, (desde
diciembre de 2008 hasta el cierre de la página en 2016) que se corresponde con
la segunda base de datos.
A última hora de la mañana JAUS remite una opción para extraer información por
medio del panel de control del servidor, pero la información proporcionada no aclara la
filtración de los datos, por lo que se solicita de nuevo la información de los logs del
sistema operativo.
? El 4 de diciembre de 2019, se reclama la información del log del sistema.
? El 5 de diciembre de 2019 se reclama de nuevo los logs del servidor,
concretando la información necesaria.
Se planifica el envío de comunicación a los afectados para el día 11 de diciembre.
? El 6 de diciembre de 2019 el hacker publica en su blog (***BLOG.1,
anonimizado por la AEPD) que dispone de la base de datos de currículos, y
continúa apuntando a una brecha en el Grupo Caja Rural. En dicho Blog se
publica una muestra de registros, que coincide con la base de datos de currículos.
A este respecto, desde la Inspección de Datos, con fecha 14 de abril de 2020, se ha
accedido al blog mencionado obteniendo como respuesta que el canal no se ha
encontrado.
? El día 10 de diciembre de 2019, el periódico ***PERIÓDICO.1 publica dos
artículos haciéndose eco de la existencia de una nueva filtración, aunque
realmente es la misma, bajo el título ?***TÍTULO.1? y una segunda publicación
bajo el título ¿?***TÍTULO 2 ?? Compruébalo aquí?. Esta segunda publicación
permite introducir el número de teléfono móvil indicando si el número estaba
afectado por la brecha.
Se comprueba que estas publicaciones hacen referencia a la base de datos de
currículos y se observa que el acceso al servidor que contiene la web
está activo, por lo que se solicita el cierre al proveedor JAUS.
Se notifica la brecha de seguridad al Banco de España.
Desde la Inspección de Datos de la AEPD se comprueba que con fecha 13 de abril de
2020 en la dirección ***URL.4 (anonimizado por la AEPD) figura la publicación de la
noticia ?¿***TÍTULO.2? Compruébalo aquí? de fecha 30 de noviembre de 2019, donde
se pone de manifiesto que se ha difundido una base de datos de al menos 637 clientes
con información personal y privada, entre la que se incluye el hash de su contraseña y
se adjunta un listado parcialmente anonimizado.
Asimismo, en esta misma fecha se comprueba que en la dirección ***URL.4
(anonimizado por la AEPD) figura la publicación de la noticia ?NOTICIA.1? de fecha 10
de diciembre de 2019, en la que se informa que el 30 de noviembre hubo una filtración
con datos de 637 clientes que fueron expuestos en internet y de otra filtración de
currículos con datos personales, y acompaña un listado parcialmente anonimizado.
(ambas publicaciones se han incorporado al expediente mediante diligencia de fecha
13 de abril de 2020)
? El 11 de diciembre de 2019, personal de Caja Zamora y de RSI se reúnen
con la Unidad de Ciberdelitos de la Policía Nacional con la intención de denunciar
el hecho ante las autoridades.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/13
Se confirma el cierre del acceso al servidor
Se realiza la notificación a los afectados mediante correo electrónico, realizándose
1443 notificaciones. Se reciben 28 solicitudes individuales de petición de ampliación
sobre la información expuesta respondiéndose a todas ellas.
? El 16 de diciembre de 2019 se procede al traslado de los dominios desde
Bluefactory a JAUS con objeto de obtener los logs del sistema.
? El 17 de diciembre de 2019 se cierra el blog de ***BLOG.1, tras lo que el
hacker envía nuevas comunicaciones a afectados haciendo referencia a un nuevo
blog (***BLOG.2, anonimizado por la AEPD).
En relación con este nuevo blog, desde la Inspección de Datos y con fecha 14 de abril
de 2020, se verifica que existe una noticia relacionada con una brecha en Ruralvia.
? El 18 de diciembre de 2019 se solicita informe a JAUS explicando los
motivos de la brecha, que se recibe el 2 de enero de 2020.
? El 3 de enero de 2020 se envían por correo postal certificado las
comunicaciones a los afectados rechazadas, quedando 15 pendientes de las que
no existe información.
? El día 9 de enero de 2020 se comunica a los cinco afectados que
solicitaron la cancelación de los datos la imposibilidad conforme a lo dispuesto en
el art. 17.3. del
Respecto de las causas que hicieron posible la brecha
? La brecha se ha producido por la existencia de una copia de la antigua
página web, que Caja Zamora tenía contratado con JAUS el alojamiento y
mantenimiento desde diciembre de 2008 hasta mayo de 2016. Esta copia de la
antigua página web tenía dos bases de datos con información personal
(correspondiente al periodo mencionado), con un total de 1443 registros de
distinta índole.
? Caja Zamora manifiesta que la copia se encuentra almacenada en un
dominio abandonado, en un servidor con vulnerabilidades, gestionado por un
tercero, y desconocía su existencia por lo que consideran que los encargados del
tratamiento contratados han incumplido el contrato en los siguientes términos:
o Cláusula decimosegunda aparatado III, almacenando información sin
las debidas medidas de seguridad. ?El proveedor aplicará a los ficheros de CR
de Zamora las medidas de seguridad a que se refiere el artículo 9 LOPD y
demás normativa de desarrollo?
o Cláusula decimosegunda apartado V, guardando información
perteneciente a Caja Zamora, una vez cumplida la prestación del servicio.
?Una vez cumplida la prestación contractual, los datos de carácter personal
deberán ser destruidos o devueltos al cliente como responsable del tratamiento
al igual que cualquier soporte o documentos en que consta algún dato de
carácter personal objeto de tratamiento?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/13
Medidas de minimización del impacto de la brecha de seguridad
? En el momento en el que se detecta el origen de la información expuesta,
se procede a la parada de los servicios del servidor, evitando así la exposición de
la información. El servidor queda inactivo el día 30 a la 13:00 horas. El proveedor
de servicios Bluefactory lo vuelve a poner en servicio y se vuelve a cerrar el
servidor.
? Como medida preventiva, se corta el acceso a todas las páginas web
alojadas por proveedores externos, cerrando los sitios web y
.
? Se realiza un profundo análisis de la información obtenida en el análisis de
vulnerabilidades a lo largo septiembre de 2019 descartando una brecha dentro de
la estructura de Caja Zamora.
Se complementa la acción anterior con una revisión manual de todos los sistemas de
Caja Zamora, realizando revisiones de ordenadores personales, servidores y unidades
de red.
? Se realiza la notificación de la brecha a la AEPD y al Banco de España. Se
ha mantenido contacto con INCIBE para notificar la brecha,
Respecto de los datos afectados.
? El incidente afecta a dos bases de datos de la antigua web de Caja
Zamora, estas son: ?Actualiza tus datos?, aplicación activa desde agosto de 2012
hasta el cierre de la página en 2016. Esta aplicación se corresponde con la
primera base de datos con 643 registros. Y ?Trabaja con nosotros?, activa desde
diciembre de 2008 hasta el cierre de la página en 2016. Se corresponde con la
segunda base de datos, con 800 registros.
? El número total de registros afectados es de 1.443.
? La aplicación ?Actualiza tus datos? contiene información básica relativa a
datos identificativos y de contacto, en concreto: apellidos, nombre, NIF, sexo,
fecha de nacimiento, dirección postal, mail, teléfono, nacionalidad y contraseña
cifrada.
? La aplicación ?Trabaja con nosotros? contiene información relativa a datos
identificativos, de contacto, y datos curriculares como datos de formación,
idiomas, experiencia profesional y contraseña sin cifrar.
? Caja Zamora manifiesta que no era posible el acceso a Banca Electrónica,
ni la realización de movimientos económicos debido a las medidas de seguridad
de doble factor de autenticación implantado.
? Se comunicó la brecha de seguridad a los 1443 afectados a través de
correo electrónico el 11 de diciembre de 2019 y por carta postal certificada a los
correos electrónicos rechazados. Hay 15 afectados con los que no se ha podido
contactar.
Caja Zamora ha aportado escrito remitido a los afectados donde se les informa sobre
el incidente que ha provocado que los datos personales quedaran expuestos a
terceros y uno de los datos hace referencia a una contraseña por lo que les
recomiendan la modificación de la misma si la utilizaban en otras aplicaciones.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/13
También informan de que no se han producido accesos a información financiera,
transacciones, ni movimientos de ningún tipo. Y proporcionan la dirección de correo
electrónico del Delegado de Protección de Datos.
? Caja Zamora manifiesta que no hay constancia de que los motores de
búsqueda hayan indexado los datos de los afectados.
Respecto de las acciones tomadas para la resolución final de la brecha
? Caja Zamora manifiesta que se continúa solicitando los registros del
sistema operativo (logs) para intentar determinar la actividad del hacker.
Respecto de las medidas de seguridad implantadas con anterioridad la brecha
? Caja Zamora ha aportado la siguiente documentación:
o Registro de actividad del tratamiento Gestión de clientes y Evaluación
de Impacto realizada en 2018 sobre dicho tratamiento. Entre los riesgos altos
que se detectan consta textualmente ?1.30 Carecer de procedimientos claros
y de herramientas adecuadas para garantizar la cancelación de oficio de los
datos personales una vez que han dejado de ser necesarios para la finalidad
o finalidades para las que se recogieron?. Asimismo, figura que una vez
implantados los controles necesarios el riesgo residual es de nivel Medio.
o Copia del registro de actividad del tratamiento Gestión de selección de
personal en el que figura que no es necesario la realización de una
Evaluación de Impacto.
o Plan de Adecuación e Implantación de las medidas derivadas del
Esquema Nacional de Seguridad de fecha 23 de octubre de 2019.
Respecto de las medias implementadas con posterioridad la brecha
? Se están revisando todos los contratos de todos los proveedores que
tengan algún tipo de relación contractual con Caja Zamora, especialmente
aquellos proveedores que tengan acceso a datos personales, analizando la
posibilidad de realizar una auditoría de seguridad sobre aquellos proveedores
que manejen datos personales de la Caja Zamora.
? Se ha comenzado la elaboración de un procedimiento de control para la
solicitud de borrado de datos personales a aquellos proveedores que dispongan
de datos personales en los que actúe Caja Zamora como responsable del
tratamiento.
? Se ha ordenado a todos los proveedores de servicios web el cierre de sus
páginas y la entrega de la documentación a Caja Zamora, con el fin de
internalizar el servicio utilizando únicamente la estructura del Grupo Caja Rural.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes de investigación y correctivos que el artículo 58 del
Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante
RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/13
garantía de los derechos digitales (en lo sucesivo
resolver estas actuaciones de investigación la Directora de la Agencia Española de
Protección de Datos.
II
El
personales? (en adelante quiebra de seguridad) como ?todas aquellas violaciones de la
seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de
datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.?
En el presente caso, se produjo una brecha de seguridad de los datos personales en
las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad,
como consecuencia del acceso indebido por terceros ajenos al sistema de información
de Caja Rural Zamora.
El artículo 32 del
? 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las personas
físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,
que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento
para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del
presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y
tenga acceso a datos personales solo pueda tratar dichos datos siguiendo
instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de
la Unión o de los Estados miembros.?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/13
El citado artículo contempla que ?el responsable y el encargado del tratamiento
aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo?. En consecuencia, no adopta una relación cerrada de
medidas técnicas y organizativas, sino que éstas deberán ser las apropiadas en
función del nivel de riesgo previamente analizado.
Añade el artículo 33.1 y 2 del
los datos personales, el responsable del tratamiento la notificará a la autoridad de
control competente de conformidad con el artículo 55 sin dilación indebida y, de ser
posible, a más tardar 72 horas después de que haya tenido constancia de ella, a
menos que sea improbable que dicha violación de la seguridad constituya un riesgo
para los derechos y las libertades de las personas físicas. Si la notificación a la
autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de
indicación de los motivos de la dilación.?. Y el apartado 2 : ?2. El encargado del
tratamiento notificará sin dilación indebida al responsable del tratamiento las
violaciones de la seguridad de los datos personales de las que tenga conocimiento?.
El artículo 34.1 y 2, establece la obligación de comunicar la brecha de seguridad en los
siguientes términos:
?1. Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento la comunicará al interesado sin dilación indebida.
1. La comunicación al interesado contemplada en el apartado 1 del presente artículo
describirá en un lenguaje claro y sencillo la naturaleza de la violación de la
seguridad de los datos personales y contendrá como mínimo la información y las
medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d)?.
En consecuencia, se trata de determinar si las medidas técnicas y organizativas eran
las adecuadas al nivel de riesgo predeterminado, así como la diligencia en la reacción
ante una brecha de seguridad y, en su caso, las medidas adoptadas para evitar que en
el futuro pueda repetirse una incidencia de similares características que pueda
comprometer los derechos y libertades de los interesados.
De las actuaciones de investigación se desprende que Caja Zamora, en calidad de
responsable del tratamiento, disponía de medidas técnicas y organizativas preventivas
a fin de evitar este tipo de incidencias pero, sin embargo, de forma excepcional se
produjo la incidencia ahora analizada con la intervención de un ataque exterior
mediante una actuación presuntamente delictiva.
Consta que Caja Zamora realizó una auditoria y análisis de riesgos (en 2018) en el
que se advirtió, tras la realización del registro de tratamientos, un riesgo de nivel alto
como consecuencia de ?Carecer de procedimientos claros y de herramientas
adecuadas para garantizar la cancelación de oficio de los datos personales una vez
que han dejado de ser necesarios para la finalidad o finalidades para las que se
recogieron.?, Ante este tipo de riesgo detectado, Caja Zamora procedió a implantar los
controles necesarios para minimizar el riesgo a nivel medio (riego residual). Tras esta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/13
disminución de la gradación del riesgo no consideró preciso realizar una evaluación de
impacto.
Con posterioridad, agosto de 2019, Caja Zamora procedió a auditar los tres dominios
indicados sin que se detectara el origen de la brecha ahora analizada, que consistió en
la salvaguarda del dominio web antiguo de Caja Zamora en una carpeta oculta
embebida en una de las nuevas webs corporativas y ajena al contrato de
mantenimiento, lo que propició que un atacante malicioso aprovechara esta
vulnerabilidad sobrevenida para acceder a los datos. Este cúmulo de errores
sobrevenidos de índole administrativa, temporal y técnica, no fue detectado en el
análisis de riesgos como probable o de riesgo alto. Hay que señalar de forma especial
la causa administrativa indicada ya que el origen de la brecha pudo haberse evitado
mediante un escrupuloso seguimiento del contrato de mantenimiento/alojamiento
suscrito entre Caja Zamora y las entidades encargadas del mantenimiento y/o
alojamiento de los diferentes dominios web en construcción y mantenimiento.
Con carácter previo a la brecha de seguridad (en octubre de 2019), Caja Zamora inició
un plan de adecuación e implantación de las medidas de seguridad derivadas del
Esquema Nacional de Seguridad (ENS).
Asimismo, Caja Zamora disponía de protocolos de actuación para afrontar el incidente,
lo que ha permitido la identificación, análisis y clasificación de la brecha de seguridad
de datos personales así como la diligente reacción ante la misma al objeto de notificar,
comunicar, minimizar el impacto e implementar nuevas medias razonables y oportunas
para evitar que se repita la incidencia en el futuro a través de la puesta en marcha y
ejecución efectiva de un plan de actuación por las distintas figuras implicadas, como
son el responsable del tratamiento y las agencias colaboradoras en calidad de
encargadas, así como con los distintos Delegados de Protección de Datos del Grupo
Caja Rural. Consta también que Caja Zamora interpuso denuncia ante la unidad de
delitos informáticos de la Policía Nacional al considerar la conducta del hacker como
presunto hecho delictivo.
Cabe señalar que los datos personales de los afectados no están afectos a datos
especialmente protegidos y que no permiten acceder a las cuentas financieras ni hacer
uso indebido de ellas, precisamente, a los protocolos previamente implantados de
doble factor de autenticación. Por otro lado, en cuanto a la base de datos denominada
?actualiza tus datos?, los datos comprometidos son datos básicos: apellidos, nombre,
NIF, sexo, fecha de nacimiento, dirección postal, mail, teléfono, nacionalidad y
contraseña cifrada. Y respecto de la base de datos denominada ?Trabaja con
nosotros? los datos afectados hacen referencia a identificativos, de contacto, y datos
curriculares (datos de formación, idiomas, experiencia profesional) y contraseña sin
cifrar, motivo por el que se procedió a comunicar a los afectados la incidencia para que
procedieran a modificar las claves iguales de aquellas otras aplicaciones de las que
eran usuarios, al objeto de evitar accesos indebidos. No obstante, se significa que con
solo la clave expuesta no es posible el acceso a la banca electrónica al estar el acceso
configurado con doble factos de autenticación.
Consta que Caja Zamora durante el proceso de respuesta, en una primera fase intenta
contener el incidente, tras lo cual se erradica la situación generada por el mismo y
termina con las acciones de recuperación oportunas. También contrató la investigación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/13
con una entidad especializada en ciberataques al objeto de analizar los hechos y
recopilación de evidencias forenses precisas para posteriormente interponer denuncia
ante la policía.
Solucionada la brecha de seguridad y verificada la eficacia de las medidas adoptadas,
Caja Zamora abordó la fase de recuperación, que tiene como objetivo el
restablecimiento de la seguridad del servicio en su totalidad, confirmando finalmente
su correcto funcionamiento y evitando en la medida de lo posible que sucedan nuevos
incidentes basados en la misma causa.
No constan reclamaciones ante esta Agencia de los afectados aun habiendo
sido informados de la brecha de seguridad, y aquellos que solicitaron ampliación de
información les fue facilitada.
En consecuencia, se debe concluir que Caja Zamora disponía de medidas técnicas y
organizativas razonables y proporcionales al nivel de riesgo para evitar este tipo de
incidencia y que al resultar insuficientes han sido actualizadas de forma diligente
mediante formación y concienciación en materia de seguridad a los empleados y
personal externo, revisión de pruebas de cumplimiento de prácticas de seguridad,
revisión de los contratos con agentes externos que se refieran a tratamientos de datos
personales, internalización de aplicaciones web e implantación de auditorías de
seguridad. Además, Caja Zamora dispone de un Informe final sobre la trazabilidad del
suceso y su análisis valorativo, en particular, en cuanto al impacto sobre los afectados.
Este Informe es una valiosa fuente de información con la que debe alimentarse el
análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de
similares características como la analizada causada previsiblemente por un error
puntual.
III
Por lo tanto, la actuación de Caja Zamora como entidad responsable del tratamiento
ha sido razonable y proporcional con las obligaciones que impone la normativa sobre
protección de datos personales analizada en los párrafos anteriores.
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de
Protección de Datos,
SE ACUERDA:
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución a CAJA RURAL DE ZAMORA
COOPERATIVA DE CREDITO, con NIF F49002454 y con domicilio en Avda. Alfonso IX
número 7, 49013 Zamora.
De conformidad con lo establecido en el artículo 50 de la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/13
Contra esta resolución, que pone fin a la vía administrativa según lo
preceptuado por el art. 114.1.c) de la
Administrativo Común de las Administraciones Públicas, y de conformidad con lo
establecido en los arts. 112 y 123 de la citada
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es