Cuando los datos se filtran: qué responsabilidad tienen con sus clientes las empresas víctimas de un ciberataque

Tres compañías españolas han sido este mes víctimas de ciberataques, con sus consiguientes filtraciones de datos: BasicFit, Booking e Inditex. En los dos últimos años, decenas de empresas españolas han sido objetivo de un secuestro de datos: El Corte Inglés, Telefónica, Endesa, Mango, Iberdrola, Iberia o el banco Santander, entre otras.

España es un país atractivo para los ciberdelincuentes. Los informes oficiales del Instituto Nacional de Ciberseguridad (INCIBE) alertan de que cada cada año aumenta la presión del cibercrimen contra los sistemas españoles. El organismo detectó 122.223 incidentes de seguridad en 2025, un 26% más que el año anterior.

Empresas especializadas del sector —como SonicWall, SecureIt o ESET— sitúan recurrentemente a España en el podio de países europeos que más brechas de seguridad, ataques de ransomware y extorsiones sufre. En 2025, la Agencia Española de Protección de Datos (AEPD) recibió 2.765 notificaciones de brechas de datos personales, y las compañías tuvieron que enviar más de 200 millones de avisos a sus clientes ante el alto riesgo de estafa.

Detrás de las filtraciones de datos hay equipos de hackers bien organizados, especializados, con su propio modelo de negocio. Son parte de un ecosistema delictivo que funciona en internet casi como un entramado empresarial. Roban direcciones, correos electrónicos, facturas, números de teléfono e incluso la información de los documentos de identidad. Todo ello se vende al mejor postor en la deep web, en foros públicos o incluso en grupos de Telegram.

“Hoy en día, el ecosistema del cibercrimen funciona como una máquina bien engrasada. Es un mercado que cuenta con muchos canales para distribuir lo que se toma y sacarle rendimiento”, explica David Catalán, investigador de la Unidad de Investigación de Amenazas en Acronis.

El precio del paquete robado dependerá del volumen de datos recabados y de su relevancia. Otro grupo de hackers comprará ese lote para montar con él estafas de suplantación de identidad, conocidas como phishing: una multa que no existe, un paquete de Amazon que nunca se pidió, un SMS del banco que recomienda un cambio de contraseña. Cuando el trabajador de una empresa cae, y el ciberdelincuente puede provocar una nueva brecha de seguridad con su credencial, y así sucesivamente.

“El 85% de los ataques empieza con un robo de identidad”, advierte Sergio Martínez, manager en España de SonicWall. Asegura que muchas empresas, especialmente las pequeñas, ignoran los aspectos más básicos de la protección informática. “Todo el mundo piensa que es demasiado pequeño para ser el blanco de un ataque, pero es básico ser consciente de que te puede ocurrir y prepararte para ello”, avisa.

Mientras las fuerzas de seguridad investigan a los ciberdelincuentes, nuestros datos personales entran en el túnel infinito de la red. Las empresas han sido víctimas de una red criminal, pero, ¿qué pasa con nuestros datos? ¿Quién compensa al usuario afectado?

Todas las empresas tienen la obligación de responder en dos frentes diferentes, explica Paula Garralón, abogada experta en nuevas tecnologías en Bird & Bird. En primer lugar, ante la AEPD. En segundo, ante el propio afectado, si este lo requiere.

La agencia es el organismo encargado de velar por el cumplimiento del Reglamento General de Protección de Datos (RGPD). “No sanciona automáticamente; investiga primero si la empresa ha cumplido con sus obligaciones antes y después del incidente”, cuenta Garralón. Antes, las compañías españolas deben haber implementado medidas de ciberseguridad adecuadas: cifrado de datos, controles de acceso, auditorías periódicas. Después, tienen la obligación de notificar la brecha a todos los afectados en un plazo máximo de 72 horas.

“Para graduar la sanción, la AEPD tiene en cuenta varios factores: cuántas personas se han visto afectadas, qué tipo de datos se han filtrado —porque no es lo mismo un nombre y un correo electrónico que datos médicos o bancarios—, si la empresa ha actuado con negligencia o si simplemente ha tenido mala suerte ante un ataque muy sofisticado”, dice Garralón. Las multas pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual de la empresa, aunque en muchos casos la AEPD opta por sanciones menores o simples advertencias.

En 2024, el organismo impuso 242 multas, que en conjunto sumaron más de 27 millones de euros. Endureció la mano el año pasado: tramitó 299 multas, unos 40 millones de euros en total, un 14% más que el ejercicio anterior.

Para una compensación individual, el afectado debe personarse, por su cuenta, ante el juzgado de primera instancia de un tribunal civil. “El RGPD reconoce expresamente el derecho de cualquier persona afectada a reclamar una indemnización si ha sufrido daños como consecuencia de la filtración”, continúa la jurista.

El problema, más allá del trajín que supone meterse en un juicio, es precisamente poder probar que se ha sufrido un perjuicio a causa de la filtración.

El RGPD reconoce dos tipos de daño: el material —la pérdida económica directa— y el inmaterial, el daño moral. “Cuando el daño es económico, como un cargo fraudulento en la tarjeta, es relativamente sencillo. Cuando es moral, como el estrés o el temor a un uso futuro de los datos, la prueba es mucho más difícil y los importes que conceden los tribunales suelen ser modestos”, reconoce Garralón. Martínez coincide en que probar esto segundo, suele ser “muy complicado”.

Aunque en España no son comunes este tipo de demandas —bien porque el afectado no sabe que puede interponerlas, o por la aversión al proceso judicial y sus costes derivados— las grandes filtraciones de estos últimos años “están empezando a generar más conciencia”, y algunas firmas de abogados “ya están articulando reclamaciones de forma organizada”.

“La ciberseguridad muchas veces se ve como secundaria, como un gasto más que como una inversión”

David Catalán, investigador de la Unidad de Investigación de Amenazas en Acronis

El reto principal para los expertos es trasladar esa conciencia también a las empresas, incluidas las medianas y pequeñas. “El lado normativo empuja, y las grandes empresas con ecosistemas maduros sí tienen estrategias de ciberseguridad”, dice Catalán. El interés merma, sin embargo, cuando el tamaño de la empresa disminuye hacia el de las pymes. ”La ciberseguridad muchas veces se ve como secundaria, como un gasto más que como una inversión”, asegura.

Los sistemas de robo de datos se han sofisticado durante los últimos años. Las empresas de seguridad y los hackers juegan, constantemente, al gato y al ratón. “Todo evoluciona muy rápido, y no vamos al mismo ritmo que los malos”, dice Martínez.

Según los datos de SonicWall, el 76% de todos los ataques se produce durante la madrugada del viernes al sábado, entre las 3.00 y las 4.00 de la mañana. “Lo hacen a esa hora porque no hay nadie vigilando, y luego tienen 48 horas hasta el lunes para explotarlo todo”.

Los ciberdelincuentes también saben esperar a la oportunidad perfecta. Una vez conseguidas las credenciales de un trabajador, los hackers pueden quedarse “escondidos” en el sistema de la empresa. “Esperan, en promedio, seis meses desde que roban la primera credencial hasta robar las siguientes”, cuenta Martínez.

Después, suelen chantajear con hacer público el ataque para dañar la reputación de las empresas, y piden un rescate. Según un informe elaborado por la consultora NTT DATA, la demanda media ronda los 100.000 euros y solo el 36% de las compañías opta por pagar.

Qué soluciones proponen los expertos

El tablero de juego se complicó tras la pandemia. El auge del teletrabajo y del acceso remoto a los recursos corporativos ha multiplicado las superficies vulnerables. “Muchas empresas siguen conectándose a través de VPN tradicionales, que dan barra libre: si consigues un usuario y una contraseña, accedes prácticamente a todo”, explica Martínez.

La IA es también, en parte, culpable de la sofisticación de las estrategias de ciberdelincuencia. Ayuda a los criminales informáticos —expertos o no— a crear campañas de phishing mucho más convincentes que las tradicionales, a rastrear sistemas vulnerables, a diseñar estrategias de ataque y a pasar desapercibidos, según explica el manager de SonicWall.

Para reducir ese riesgo, los expertos defienden la implantación de estrategias de “máxima desconfianza y mínimo privilegio”, conocidas como Zero Trust Network Access (ZTNA): saber qué trabajadores se conectan a qué recursos concretos y bajo qué condiciones. “Un básico sería la verificación de identidad mediante dobles o triples factores de autenticación”, dice Martínez.

El encargado de SonicWall insiste en dos estrategias: “La primera es asegurar el acceso remoto y la identidad —cerrar las VPN actuales y utilizar el ZPMA—; y lo segundo es que siempre tiene que haber alguien vigilando". Para ello, estas empresas ofrecen servicios de vigilancia continua (SOC) que monitorizan las 24 horas del día, siete días a la semana, los sistemas y dispositivos de sus clientes para detectar anomalías y aislar los incidentes a tiempo.

A nivel individual, también se pueden tomar prevenciones, como cambiar las contraseñas y no reutilizarlas, o abstenerse de realizar ningún trámite por teléfono.

“Al final, no existe método ni la herramienta que proteja a nadie del ataque. Lo que está en la mano de las empresas es asignar los recursos necesarios para hacer una buena defensa”, insiste Catalán.

Cuando los ciberataques tienen éxito y se vulnera la información de los clientes, las empresas tienen la obligación de avisar a sus clientes debidamente. “El RGPD exige que expliquen con claridad qué datos concretos se han visto comprometidos, qué consecuencias pueden tener y qué medidas va a tomar para minimizar el daño”, dice Garralón. Los tres expertos coinciden en que esto es vital para poder estar alerta ante posibles estafas y reaccionar.

Existe también la posibilidad de presentar acciones colectivas a través de asociaciones de consumidores, a pesar de que son poco frecuentes. El arbitraje, en teoría posible, es prácticamente inexistente en este tipo de conflictos, reconoce la jurista.

“España es uno de los mayores blancos del cibercrimen y le queda mucho por avanzar, hay que hacer los deberes”, concluye Martínez