¿Quién es el responsable en un ciberataque? El reciente caso de Comisiones Obreras

• Nacho Grosso @grosso_nacho
• Cádiz (1973) Redactor y editor especializado en tecnología. Escribiendo profesionalmente desde 2017 para medios de difusión y blogs en español.
• • 15/03/2025 09:32
  • Actualizado: 15/03/2025 09:32

Las empresas y entes de todos los tamaños tienen la responsabilidad de proteger los datos de sus clientes y trabajadores ante posibles amenazas cibernéticas. Pero, ¿qué sucede cuando, a pesar de sus medidas de seguridad, son víctimas de un ciberataque? El reciente incidente que ha afectado a Comisiones Obreras pone de relieve las responsabilidades que enfrentan las organizaciones en estos casos.

Comisiones Obreras como objetivo

El sindicato ha sido recientemente atacado mediante ransomware, lo que dio como resultado la encriptación y filtración de cerca de 700.000 archivos en la Darkweb. Comisiones Obreras se negó a pagar el rescate exigido por los hackers y ha declarado que ha seguido los protocolos establecidos en la normativa de ciberseguridad para gestionar la crisis.

Este no es el primer incidente de ciberseguridad al que se enfrenta el sindicato. En noviembre de 2023, su página web quedó inhabilitada durante varias horas. Sin embargo, el ataque actual podría acarrear consecuencias económicas importantes si se determina que CCOO no cumplió con las medidas de protección necesarias.

Cumplimiento  y consecuencias legales

Las empresas y organizaciones que manejan datos sensibles deben cumplir con normativas estrictas, como la directiva NIS2. Esta normativa exige la implementación de medidas de seguridad adecuadas y la notificación de incidentes graves en un plazo de entre 24 y 72 horas. Además, obliga a las entidades a contar con protocolos de cifrado, capacitación en ciberseguridad y equipos especializados.

En el caso de CCOO, el sindicato asegura haber cumplido con estas directrices, contando con delegados de Protección de Datos y notificando la brecha de seguridad a la Agencia Española de Protección de Datos y al Instituto Nacional de Ciberseguridad (INCIBE). De este modo, busca evitar sanciones económicas que pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual, dependiendo de la categoría de la empresa afectada.

Multas y sanciones por incumplimiento

Las empresas que no cumplan con las normativas de protección de datos y ciberseguridad pueden enfrentar severas multas y demandas. Un ejemplo reciente es LaLiga, sancionada con un millón de euros por el uso indebido de datos biométricos de los asistentes a los estadios. También otras empresas en sectores como la banca y la distribución han recibido multas de hasta 6 millones de euros por el uso indebido de datos personales sin consentimiento.

Derechos de los afectados

Cuando una empresa sufre una brecha de seguridad, los usuarios cuyos datos han sido expuestos tienen derecho a reclamar indemnizaciones si se demuestra que la organización no tomó las medidas de seguridad adecuadas. Sin embargo, en muchos casos, estas reclamaciones solo prosperan si los datos filtrados son utilizados para actividades fraudulentas.

Para protegerse, los usuarios deben cambiar sus contraseñas, contactar a su entidad bancaria si la información comprometida es financiera y vigilar posibles usos indebidos de sus datos personales.

La seguridad de los datos es una responsabilidad fundamental en entornos tan digitalizados. Las empresas no solo deben implementar medidas de protección para prevenir ataques, sino también actuar con transparencia y diligencia cuando se produce una brecha. Las normativas de protección de datos están evolucionando para garantizar la seguridad de la información, y su incumplimiento puede acarrear consecuencias legales y económicas severas. Los datos son el nuevo «oro digital», por lo que la protección de la información no es una opción, sino una obligación.