La autoridad de protección de datos británica sanciona a un despacho de abogados tras la publicación de datos de sus clientes en la dark web

Comparte

El Information Commissioner’s Office (ICO), autoridad de control inglesa en materia de protección de datos ha publicado una reciente resolución por la que sanciona a un despacho de abogados londinense (que tiene oficinas por todo el Reino Unido) por no aplicar las medidas de seguridad adecuadas para proteger la información de sus clientes que, tras un ciberataque, terminó publicada en la dark web. En total, la multa que deberá abonar la entidad sancionada alcanza las 98.000 libras.

El ataque por el que los ciberdelincuentes fueron capaces de acceder y robar la información de los clientes de la firma legal consistió en la instalación de determinadas herramientas en los sistemas del despacho que, posteriormente, permitieron que los primeros se crearan una cuenta de usuario en la red de la empresa. A través de esta cuenta, pudieron acceder a la información. Utilizando esta técnica, se pudo producir un acceso no autorizado a 60 expedientes judiciales y a un total de 972.191 documentos.

Según el documento publicado por el ICO, los ciberdelincuentes aprovecharon un momento de cambio en el sistema de trabajo del despacho: sus empleados estaban implantando la modalidad de teletrabajo. Para ello, habían empezado a utilizar nuevas herramientas para facilitar la nueva dinámica de trabajo.

Según el ICO, el motivo de la infracción se encuentra en la falta de cumplimiento del artículo 32 del RGPD, que establece la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de forma que se garantice la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento de datos personales.

Para determinar la existencia de la infracción mencionada, la ICO consideró que la importancia y la naturaleza de los datos hacía que el control de acceso únicamente mediante usuario y contraseña no era suficiente ni proporcional al riesgo. 

Leer más

Posts relacionados que podrían interesarte

7, marzo 2024

Meta no podrá seguir utilizando su nombre en Brasil

22, diciembre 2021

Entra en vigor la Directiva europea de Whistleblowing, que regula el canal de denuncias

28, enero 2021

Inminente aprobación del Washington Privacy Act.

23, octubre 2019

Los anuncios de Unidas Podemos en Facebook incumplen la ley electoral, según la Junta Electoral Central.

26, septiembre 2024

Telegram: Cambio en las condiciones de uso informando de la comunicación de datos a autoridades públicas

17, febrero 2022

Base de legitimación para el tratamiento y transferencia de certificados de antecedentes penales negativos: ¿es válido el consentimiento?