¿Cómo están realmente seguros nuestros datos?

BarcelonaLas empresas y organismos que sufren robos de datos han desarrollado un discurso consolador: "Lo hemos detectado, tapado el agujero de seguridad y no volverá a pasar". El problema es que este mantra ignora una realidad incómoda: una vez que los datos han sido extraídos, es casi imposible detener su difusión en la web oscura, donde pueden circular durante años. Repasamos tres incidentes –dos de ellos muy recientes, Endesa y Spotify, y uno más antiguo, el Consorcio Sanitario Integral (la entidad que incluye el hospital Broggi de Sant Joan Despí)– como ejemplos distintos de esta crisis permanente y los esfuerzos corporativos para reducir el impacto reputacional.

Los datos operativos de Endesa

Dos días antes de Reyes, un pirata informático que se autodenomina Spain publicó en BreachForums que había obtenido más de 1 terabyte de información de Endesa. Presumía de haber tardado sólo dos horas y media en extraerlas, pero la compañía eléctrica tardó una semana entera en notificarlo a sus clientes. El comunicado hablaba de "incidente de seguridad" –nunca de "robo"– y se apresuraba a asegurar que las contraseñas estaban intactas. Ve qué alivio, cuando alguien ya tiene tus números de DNI, cuenta bancaria, punto de suministro y domicilio completo.

Es el robo clásico de datos operativos: la información que una empresa acumula sobre sus clientes para gestionar el servicio. Un estudio de la Universidad de Wisconsin indica que el 40% de las notificaciones de rendijas incluyen la frase "no tenemos evidencia de un uso indebido". El problema es que las empresas no pueden rastrear qué ocurre con los datos una vez abandonan sus sistemas.

Aparte, el caso de Endesa pone en evidencia un aspecto inquietante. La eléctrica ha comunicado a personas que dejamos de ser clientes hace años que les han robado nuestros datos. ¿Por qué todavía las tenían? El laberinto normativo del RGPD permite retener datos de antiguos clientes durante cinco o seis años por motivos fiscales, pero una cosa es conservarlos y otra protegerlos adecuadamente. Recordemos que la agencia española de protección de datos ya multó a Endesa con 6,1 millones de euros en el 2023 por una filtración anterior en la que los datos se vendían mediante anuncios en Facebook (gracias, Mark Zuckerberg!).

Dicho pirata afirma tener 20 millones de registros. Endesa habla de 3 millones. La cifra real de clientes activos se sitúa en unos 10 millones. Estos datos ya circulan y algunos clientes afectados ya han notificado llamadas fraudulentas (vishing) que intentan hacerlos cambiar de distribuidora eléctrica.

Spotify: cuando lo que roban es el producto

En diciembre, la misteriosa web Anna's Archive anunció haber "hecho una copia de seguridad" de prácticamente todo Spotify: 256 millones de canciones en metadatos y 86 millones de archivos de audio, casi 300 terabytes de música. Aquí no hablamos de datos operativos sobre clientes, sino del contenido que es la materia prima del servicio. El colectivo, conocido por archivar libros descatalogados y artículos académicos, lo presenta como un proyecto de "preservación del patrimonio musical de la humanidad".

Spotify reconoció el "acceso ilícito" pero insistió en que no se había comprometido ningún dato de usuario. Desactivó las cuentas utilizadas y aplicó "nuevas salvaguardias". El mensaje implícito: esto no le afecta, siga pagándonos por escuchar. Pero 300 terabytes de música ya están disponibles en torrentes, y ninguna actualización de seguridad los hará desaparecer.

Este incidente en concreto plantea cuestiones fascinantes más allá del delito: con todos los metadatos y archivos disponibles, se abre la posibilidad de crear herramientas de análisis musical, sistemas de recomendación alternativos o incluso plataformas descentralizadas que esquiven el monopolio de Spotify. Esa "preservación" que proclama Anna's Archive podría acabar siendo una competencia inesperada.

Consorcio Sanitario: los daños colaterales que nadie prevé

En 2022, RansomExx publicó 52 gigabytes de datos del Consorci Sanitari Integral de Catalunya, extraídas en el marco de un ataque ransomware de doble extorsión: antes de cifrar la información de la víctima para exigirle un rescate, los delincuentes se quedan copia: DNI de pacientes, historias clínicas, incluso programaciones de guardias hospitalarias. La entidad describió la filtración como "volumen reducido de datos". Este caso ilustra el tercer tipo de robo, quizá el más inquietante: los daños colaterales de datos personales que nunca deberían estar en los sistemas corporativos.

Las noticias suelen centrarse en los datos operativos –los de pacientes, en este caso–, pero a menudo son tanto o más dramáticos los robos de documentos personales de los empleados. En ese momento pude examinar una muestra del botín: contenía desde tarjetas de embarque y reservas de hotel hasta informes escolares o álbumes infantiles de empleados que los habían guardado en los servidores del trabajo. Esta información íntima, que la empresa ni siquiera sabía que custodiaba, termina circulando por la misma web oscura que los datos oficiales.

Un mal irreversible

Las tres organizaciones siguieron el mismo guión: reconocer el incidente, asegurar que se había "cerrado la vulnerabilidad" y minimizar las consecuencias reputacionales. Pero estas garantías sobre haber "tapado el agujero" son irrelevantes cuando los datos ya circulan por la web oscura. En estos mercados clandestinos, una identidad completa se vende entre 15 y 200 euros.

Estas bases de datos pueden continuar activas durante años, revendiéndose una y otra vez, resurgiendo en nuevos ataques cada vez más sofisticados gracias a la personalización con IA. Los datos de Endesa, los metadatos de Spotify o los álbumes infantiles del Consorci Sanitari no desaparecerán para que alguien haya actualizado su cortafuegos.

Mientras las empresas proclaman que "la seguridad de los datos es una prioridad estratégica", quizá habría que hacerse una pregunta más básica: a la vista de los resultados, ¿qué significa exactamente esta supuesta prioridad? La respuesta, en la próxima notificación de filtración de datos suyos que reciba. Estará redactada en un lenguaje impecablemente ambiguo, le garantizará que las contraseñas son seguras, y le invitará a "extremar las precauciones". Precauciones que, obviamente, nunca debería haber necesitado.