A principios de mes, el banco Santander comunicó a la Agencia Española de Protección de Datos (AEPD) y a la CNMV que sufrió un ciberataque que comprometió la confidencialidad de varios millones de datos personales de clientes en España, Chile y Uruguay, además de datos de empleados.
A finales de mayo, Telefónica e Iberdrola también comunicaron a la AEPD dos importantes brechas de seguridad, que comprometieron cientos de miles de datos personales de sus clientes. Telefónica informó que la filtración de información se refería a los datos personales de 120.000 clientes, mientras que la eléctrica especificó que la cantidad de clientes afectados fue 850.000.
El elemento común de los tres ciberataques mencionados se refiere sin duda al modus operandi de los responsables: en lugar de atacar directamente a las empresas, los hackers buscan una vulnerabilidad en alguno de sus proveedores externos.
Lo anterior pone de manifiesto la importancia de la selección previa a la contratación de los proveedores externos. Antes de cualquier tipo de externalización de servicios que conllevan el acceso de datos es importante evaluar las medidas de seguridad y garantías que ofrece el tercero en materia de seguridad y protección de datos. Los cuatro puntos a destacar a la hora de seleccionar un proveedor son a) identificación de los datos a los que tendrá acceso el proveedor y la finalidad, b) comprobar la ubicación de los proveedores, en particular los que se encuentran fuera de la UE, c) solicitar una lista de subencargados, en caso de que existan y d) pedir garantías de cumplimiento de las medidas de seguridad oportunas.