El Information Commissioner’s Office (ICO), autoridad de control inglesa en materia de protección de datos ha publicado una reciente resolución por la que sanciona a un despacho de abogados londinense (que tiene oficinas por todo el Reino Unido) por no aplicar las medidas de seguridad adecuadas para proteger la información de sus clientes que, tras un ciberataque, terminó publicada en la dark web. En total, la multa que deberá abonar la entidad sancionada alcanza las 98.000 libras.
El ataque por el que los ciberdelincuentes fueron capaces de acceder y robar la información de los clientes de la firma legal consistió en la instalación de determinadas herramientas en los sistemas del despacho que, posteriormente, permitieron que los primeros se crearan una cuenta de usuario en la red de la empresa. A través de esta cuenta, pudieron acceder a la información. Utilizando esta técnica, se pudo producir un acceso no autorizado a 60 expedientes judiciales y a un total de 972.191 documentos.
Según el documento publicado por el ICO, los ciberdelincuentes aprovecharon un momento de cambio en el sistema de trabajo del despacho: sus empleados estaban implantando la modalidad de teletrabajo. Para ello, habían empezado a utilizar nuevas herramientas para facilitar la nueva dinámica de trabajo.
Según el ICO, el motivo de la infracción se encuentra en la falta de cumplimiento del artículo 32 del RGPD, que establece la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de forma que se garantice la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento de datos personales.
Para determinar la existencia de la infracción mencionada, la ICO consideró que la importancia y la naturaleza de los datos hacía que el control de acceso únicamente mediante usuario y contraseña no era suficiente ni proporcional al riesgo.