Sanción ejemplar de la AEPD: Ser víctima de ransomware no exime de responsabilidad

Publicado por admin el

La Agencia Española de Protección de Datos (AEPD) ha impuesto recientemente una sanción de 180000 euros a una empresa española que sufrió un ataque de ransomware, enviando un mensaje inequívoco: padecer un ciberataque no libera de las obligaciones legales en materia de protección de datos personales.x

El contexto: víctimas… y responsables

En el caso resuelto por la AEPD, la empresa sufrió una intrusión en sus sistemas informáticos que terminó cifrando y, en ocasiones, exfiltrando información sensible de empleados y clientes. A pesar de que la compañía fue víctima directa de delincuentes informáticos, la resolución del organismo regulador enfatiza que ninguna organización puede escudarse en esta condición para eludir el cumplimiento con el Reglamento General de Protección de Datos (RGPD).x

Fallos identificados y criterios de la sanción

La investigación detectó graves deficiencias en las medidas de seguridad: usuarios genéricos activos, contraseñas desactualizadas, ausencia de autenticación reforzada, falta de segmentación de red y controladores de dominio sobre equipos obsoletos. Todo ello facilitó el acceso no autorizado y la propagación del ransomware. La AEPD consideró que la empresa no había implementado medidas técnicas ni organizativas adecuadas para salvaguardar los datos personales, tal y como exige el RGPD.pkf-attest

¿Por qué la sanción si hubo ataque externo?

La clave está en el “principio de responsabilidad proactiva”, que obliga al responsable del tratamiento de datos a anticiparse a posibles riesgos y a asegurarse de que dispone de recursos robustos para prevenir y mitigar incidentes. Ser víctima de ransomware no exonera per se la responsabilidad, sobre todo si se demuestra que el nivel de protección estaba por debajo de lo esperado según el tipo de datos que se manejan y el riesgo al que se exponen.pkf-attest+1

Consecuencias y recomendaciones

Este caso marca un precedente importante en el ámbito normativo español: toda entidad debe evaluar, implantar y revisar de manera continua sus políticas y herramientas de seguridad. Algunas recomendaciones básicas incluyen:

  • Realizar análisis de riesgos periódicos.
  • Garantizar la actualización y robustez de credenciales.
  • Segmentar la red interna y limitar privilegios.
  • Implantar autenticación multifactor.
  • Realizar copias de seguridad cifradas y almacenadas fuera de la red principal.
  • Documentar y evidenciar todas las medidas adoptadas.

No basta con reaccionar: la única defensa válida ante la AEPD es la prevención activa y probada.

Reflexión final

La resolución de la AEPD subraya una realidad ineludible para empresas y organismos: la seguridad de los datos personales es irrenunciable, incluso cuando median ataques sofisticados. La administración deja claro que la protección de los derechos de los usuarios exige un compromiso constante, anticipación ante los riesgos y la asunción de consecuencias cuando se demuestra negligencia. Así, el simple hecho de ser “víctima” ya no es sinónimo de inocencia, sino más bien una llamada a la responsabilidad.

  1. https://www.pkf-attest.es/noticias/sancion-brecha-datos/
  2. https://www.instagram.com/p/DMcc6WbsPpU/
  3. https://www.instagram.com/p/DOsYCyfDUIh/
  4. https://www.aepd.es/documento/ps-00070-2025.pdf
  5. https://x.com/pablofb/status/1968444601879937532
  6. https://www.prodat.es/blog/ransomware-y-datos-sensibles-110-000-e-de-sancion-a-un-club-de-primera-division/
  7. https://softwarecrm.net/multas-de-proteccion-de-datos-en-espana-en-2025/
  8. https://forlopd.es/multas-de-la-aepd-en-2025-que-podemos-aprender-de-los-casos-mas-relevantes/
  9. https://www.boe.es/diario_boe/txt.php?id=BOE-A-2025-9383
Categorías: InformáticaLegislación
Etiquetas:

admin

He sido profesor de la Universidad de Murcia. Impartí docencia de los departamentos de Física y de Informática y Sistemas. Interesado en la ciencia, el escepticismo y el pensamiento crítico.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Entradas relacionadas

Historia

La desinformación del Holocausto en redes sociales: Un desafío creciente para la educación

Casi el 60% de los estudiantes encuentran contenido no verificado sobre el genocidio, generando conceptos erróneos que llegan al aula Los estudiantes de hoy enfrentan una avalancha de información digital que moldea su comprensión del Leer más

Informática

Phishing infrasemántico: Cómo los delincuentes explotan la semántica débil del usuario

Los ciberdelincuentes diseñan campañas de phishing que operan en el «bajo percentil semántico» de los usuarios, es decir, explotando la incapacidad de la mayoría para detectar sutilezas lingüísticas y gráficas que disfrazan sitios maliciosos como Leer más

Informática

Atlas bajo la lupa: riesgos y defensas de seguridad en el nuevo navegador con IA de OpenAI

ChatGPT Atlas es el nuevo navegador de OpenAI, lanzado inicialmente para macOS en octubre de 2025, que integra de forma nativa un modelo de IA generativa para que “navegar” sea, en la práctica, conversar con Leer más