¿Qué hacer ante una brecha de seguridad en tu empresa?

 En un artículo reciente, ya se explicaba la responsabilidad civil derivada de este tipo de situaciones. Sin embargo, es importante tener en cuenta otras consideraciones prácticas y jurídicas igualmente relevantes para las empresas.

Cada vez es más frecuente que las empresas, sin importar su tamaño, facturación o sector, sean blanco de ciberataques que comprometen sus sistemas, redes, conocimientos estratégicos (know-how), operaciones, reputación e incluso, en algunos casos, provocan la filtración de datos personales, con todas las consecuencias legales y económicas que ello conlleva.

Un claro ejemplo lo hemos visto en el ciberataque que se produjo en un proveedor de servicios de check-in y facturación de algunos aeropuertos (Heathrow, Berlín y Bruselas) este mismo fin de semana.

Importancia de una respuesta rápida y conforme a la normativa 

Ante este tipo de incidentes, es imprescindible actuar con la máxima rapidez y diligencia, tanto para contener el ataque como para mitigar sus efectos. Una respuesta tardía o inadecuada puede agravar los daños y suponer un incumplimiento de la normativa vigente, como el Reglamento General de Protección de Datos (RGPD) o la Ley de Servicios de la Sociedad de la Información (LSSI), entre otras normativas relacionadas. Esto puede dar lugar a importantes sanciones por parte de las autoridades competentes, como, en el caso de la protección de datos, la Agencia Española de Protección de Datos (AEPD).

Por ello, compartimos a continuación algunas pautas esenciales para tener en cuenta en caso de sufrir un ciberataque. Una actuación rápida, coordinada y conforme a la normativa puede marcar la diferencia entre un incidente controlado y una crisis de gran impacto.

Pasos clave ante una brecha de seguridad 

  1. Comunicar la incidencia internamente 

Informa inmediatamente del incidente al departamento legal de la empresa. Si cuentas con un Delegado de Protección de Datos (DPO) y la brecha afecta a datos personales, también deberás informarle sin dilación, ya que esta figura desempeña un papel fundamental en este tipo de situaciones. Según el RGPD, el DPO es la persona encargada de informar y asesorar al responsable o encargado del tratamiento de los datos personales, así como de supervisar el cumplimiento de la normativa en materia de protección de datos. Esta figura debe actuar con independencia en el ejercicio de sus funciones y cooperar con las autoridades de control, como la AEPD. Por lo tanto, si se produce una brecha, debe valorarse la necesidad de notificar o no a la AEPD.

  1. Obtener un asesoramiento legal especializado 

En caso de que la empresa no disponga de un equipo legal especializado, es recomendable contactar con profesionales en derecho de las nuevas tecnologías y protección de datos para analizar la situación concreta y definir los siguientes pasos, entre los cuales pueden estar:

  1. Evaluar la gravedad y el alcance del ataque o brecha, tanto desde un punto de vista civil, penal, de protección de datos o afectación de otros derechos.
  2. Determinar si es obligatorio notificar la brecha a la AEPD y, en su caso, también a los afectados por el incidente, de acuerdo con lo establecido en el RGPD (generalmente dentro de un plazo máximo de 72 horas desde que se tiene constancia).
  3. Adoptar medidas técnicas y acciones de contención del ataque, como la restauración de sistemas, cambio de credenciales, realización de peritajes informáticos, así como medidas organizativas de contención o mejora de procedimientos.
  4. Revisar los procedimientos internos, políticas, protocolos de actuación, formación del personal y otras medidas técnicas y organizativas vigentes, y valorar si es preciso llevar a cabo alguna actualización, teniendo en cuenta las nuevas circunstancias, no solo a raíz del incidente sino también, porque en ocasiones, se hayan quedado obsoletos o desactualizados. Esto permitirá mejorar la prevención y reducir la posibilidad de errores humanos en el futuro.
  5. Registrar todo lo sucedido en un registro de incidentes de seguridad, acompañado de un informe técnico y legal que describa el origen, impacto, medidas adoptadas y posibles consecuencias del incidente.
  6. En caso de que se deba notificar a la Agencia y/o los afectados, proceder con ello, contando con el adecuado asesoramiento legal para llevar a cabo todas las acciones de forma diligente.

Ciberataques en aumento: datos y ejemplos recientes

La tendencia de los ciberataques no solo no disminuye, sino que continúa en aumento. Actualmente, se estima que en España se sufren un total de 2.057 ciberataques semanales, lo que supone un 20 % más que en 2024. Este fenómeno creciente no afecta únicamente a empresas conocidas, sino que cualquiera puede ser víctima. A modo de ejemplo, y debido a su magnitud, los casos más mediáticos este 2025 son, entre otros:

Riesgos y consecuencias de una brecha de seguridad

Los riesgos derivados de un ciberataque no se limitan únicamente al ámbito económico o reputacional. Este tipo de incidentes pueden tener consecuencias mucho más amplias y graves, como la suplantación de identidad tanto de la propia empresa como de sus empleados, lo que puede derivar en la comisión de ciberestafas, fraudes o accesos no autorizados a servicios y plataformas. Además, en algunos casos la información obtenida puede ser utilizada para lanzar campañas de phishing dirigidas a clientes o proveedores, comprometiendo cuentas corporativas y manipulando las comunicaciones. También, pueden provocar afectaciones de otros derechos, como la propiedad intelectual, confidencialidad, protección de secretos industriales, entre otros.

Recomendaciones finales  

Es fundamental que las empresas adopten todas aquellas medidas organizativas y técnicas que ayuden a prevenir y evitar, en la medida de lo posible, este tipo de ataques. Y, en caso de que tu organización sufra un incidente de este tipo, actuar con rapidez y conforme a la normativa vigente es clave para minimizar el impacto y las posibles consecuencias legales.

Sobre la autora

Ana Vidaor Maristany, abogada área TMT. AGM Abogados

 

Artículos relacionadosMás del autor

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.