La clonación de páginas webs es más habitual de lo que creemos. Esta técnica para realizar ataques phising consiste en replicar la página web original, lo que puede provocar, no solo confusión a los usuarios, sino que estos faciliten a través de la web replicada, claves de acceso, etc.
También puede ser habitual que la web clonada se encuentre en un dominio de páginas de contenido sexual o de citas, de manera que desprestigie la reputación de la empresa cuya web ha sido clonada, en estos casos, lo más habitual es que se produzca algún tipo de extorsión a la web original, de manera que si no se paga una cantidad determinada de bitcoins amenazan con publicar toda la información a la que hayan podido acceder.
Cuando se detecte una clonación de la web, lo más recomendable es analizar nuestra propia web clonada, dado que es posible que el hacker haya detectado un agujero de seguridad en la web original que provoca que mediante la web clonada se publiquen datos que en su origen deberían estar inaccesibles.
Si se ha detectado esta quiebra de seguridad, se debe actuar rápido, pero sin precipitarse. El Reglamento General de Protección de Datos (LA LEY 6637/2016) establece un plazo de 72 horas para comunicar la quiebra de seguridad a la autoridad de control y a los afectados, en el caso de que fuera necesario realizar tales comunicaciones. Por tanto, lo primero que hay que hacer es analizar e investigar en profundidad lo sucedido.
Es primordial poder determinar qué información se ha visto afectada por la quiebra de seguridad, siendo muy relevante la tipología de datos afectada, el volumen de datos afectados y por supuesto si los datos se han hecho públicos a través de Internet o únicamente eran accesibles. Todas estas circunstancias determinarán la necesidad de realizar la comunicación a la autoridad de control, así como la comunicación a los propios titulares afectados por la quiebra.
Obviamente, la primera acción que debe de realizar la empresa es «arreglar» el agujero de seguridad que ha provocado la quiebra y una vez se haya solventado intentar eliminar toda la información que ha podido hacerse pública. Existen sistemas y herramientas capaces de eliminar el contenido infractor en Internet, ya sea mediante la desindexación en los buscadores o mediante reclamaciones a los ISPs donde se alojen las webs clonadas.
En cualquiera de los casos, toda quiebra de seguridad debe quedar documentada. En el caso de que la empresa cuente con Delegado de Protección de Datos, ya sea interno o externo, este debe tener conocimiento de la quiebra en el momento en el que la empresa la detecte, de manera que se pueda actuar de forma rápida y ordenada, documentando todas las actuaciones realizadas. En el caso de que no exista tal Delegado de Protección de Datos (DPO), deberá encargarse del asunto el Comité de Protección de Datos.
Por tanto, detectada una quiebra de seguridad según Álvaro Ramos, Director de Nuevas Tecnologías y Delegado de Protección de Datos en Clarke, Modet & Cº, se deben realizar las siguientes acciones:
1. Análisis de la Quiebra de Seguridad: Investigar la ubicación de la web clonada (habitualmente son dominios difíciles de reclamar como, por ejemplo .tk). Analizar el motivo que ha provocado el acceso por parte de terceros a datos de personal, solventarlo y documentarlo.
2. Cuantificar y cualificar la información: Que tipología de datos se han visto afectados, cuantos, y cuales han sido las consecuencias (publicación en Internet de los datos, reenvío de datos, etc). Decidir si la quiebra requiere la comunicación a la Autoridad de Control y a los usuarios afectados. Para tomar esta decisión el DPO o el comité debe analizar el asunto y decidir si la quiebra ha constituido un riesgo para los derechos y las libertades de las personas físicas, realizando para ello un análisis del Volumen, la tipología de datos y el Impacto. La Agencia Española de Protección de Datos establece a titulo ejemplificativo una fórmula para hacer dicho cálculo: Volumen x (Tipología x Impacto) determinando a su vez los límites en los que se considera necesario tanto la comunicación a la autoridad como la comunicación a los usuarios afectados.
3. En caso necesario, comunicar a la Autoridad y a los usuarios en el plazo de 72 horas.
4. Levantar acta y documentar todas las acciones realizadas.
5. Eliminar, en la medida de lo posible, el contenido clonado y la información publicada que contenga datos personales, utilizando para ello diversos canales, desindexación de los buscadores, reclamaciones a ISP, reclamación a INCIBE (Instituto Nacional de Ciberseguridad), etc.
Todas estas acciones son, necesarias en cumplimiento del Reglamento General de Protección de Datos (LA LEY 6637/2016), dado que debe existir un protocolo de actuación ante quiebras de seguridad, y son clave para determinar la posible sanción ante una inspección de la autoridad de control o ante una hipotética denuncia.