Según la Agencia Española de Protección de Datos, una brecha de seguridad de datos personales es un incidente de seguridad que afecta a datos de carácter personal. Las brechas de datos personales, ya sean de origen accidental o intencionado, puede afectar a datos tratados digitalmente o en formato físico. En general, una brecha de datos personales es un suceso en el que se ocasiona la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
Desde Suments Data hemos lanzado una nueva investigación para evaluar la presencia de metadatos en sitios web de empresas españolas y evaluar su potencial en la creación de brechas de datos personales. Os contamos un poco la metodología del estudio
- La muestra: hemos seleccionado 5.000 sitios web de empresas españolas, ni uno más ni uno menos
- Población: empresas grandes, medianas y pequeñas con representación de varios sectores, donde podemos encontrar tiendas online, medios de comunicación, escuelas y empresas de servicios varios.
- Análisis: todos los sitios web han sido analizados con nuestra querida Verics, tecnología para el análisis de metadatos en sitios web, una araña web (o robot) que analiza los metadatos presentes en un sitio web y detecta aquellos que presentan filtraciones, es decir, metadatos que incluyen datos personales identificables, así como datos sensibles, como coordenadas GPS y direcciones físicas, información que, en asociación con otros datos, pueden suponer un problema de ciberseguridad.
Resultados de la investigación
Cuando lanzamos esta investigación sobre “Metadatos y brechas de datos personales en las empresas” no imaginábamos lo que nos podíamos encontrar. Los resultados son aterradores:
- Más del 70% de las webs (3577) difunden datos personales identificables a través de sus metadatos.
- Las filtraciones se cuentan por miles: 300 de las webs analizadas tienen entre 1.000 y hasta 525.000 filtraciones
- Las filtraciones revelan datos como nombres y apellidos de personas físicas, direcciones de correo electrónico, nombres de usuario, números de teléfono y dígitos de DNI.
- El 20% (1008 sitios web) también revela datos sensibles como coordenadas GPS y direcciones físicas
La difusión de datos personales identificables, sea voluntaria o accidental, puede suponer un incumplimiento del Reglamento General de Protección de Datos (RGPD), que en su artículo 4, apartado 12, hace referencia al concepto concepto de “violación de la seguridad de los datos personales”, que se define como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos”.
Algo están haciendo mal los Delegados de Protección de Datos en España cuando las empresas españolas cuentan con miles de filtraciones de metadatos en sus sitios web. Además del problema que suponen para la privacidad y protección de datos, estas malas prácticas también pueden suponer un problema de ciberseguridad, ya que todos estos datos personales e información confidencial de las empresas publicados en la web sin control son caldo de cultivo para ataques de phising y ransomware.
¿Y por qué ocurre todo esto?
El desconocimiento sobre los metadatos es la causa de todo. Empecemos: un metadato es un dato que define y describe otros datos. El nombre proviene de la palabra griega “meta” (después de o más allá de) y por otro lado el vocablo latino “datum” (dato). Los metadatos son comúnmente llamados “datos sobre los datos” o “información sobre la información”.
Existen diferentes tipos de metadatos según su aplicación (en el momento de escribir esto, en Suments Data llevamos identificadas 250.000 categorías de metadatos). Sin embargo, de todos los metadatos que podemos encontrar en un análisis de Verics sobre un sitio web, sólo un mínimo porcentaje de éstos (0.13%) presentan filtraciones de datos personales o información sensible, por lo que podrían generar brechas de datos personales y por tanto un incumplimiento del Reglamento General de Protección de Datos. Dentro de ese 0.13%, Verics ha categorizado a más de la mitad de los metadatos (56%) como “filtraciones” (contienen datos personales) y un 41% como “datos sensibles” (contienen coordenadas GPS o direcciones físicas, peligro)
Vale, existen muchos metadatos y sólo unos pocos de ellos presentan datos personales o incumplimento del RGPD. ¿Cuál es el problema entonces?. Pues bien, aunque en un principio parece una cifra minúscula y poco significativa, lo que resulta aterrador es que la mayoría de las empresas analizadas (70%) caen en ese 0.13% por la mala gestión de los metadatos en su página web, principalmente porque desconocen su uso y sus peligros.
Subir archivos a la web que incluyan metadatos con datos personales es una práctica normal, incuso en usuarios avanzados, simplemente los usuarios o webmasters no conocen las tecnologías que existen para la limpieza de metadatos o no saben que existe un plugin para borrar metadatos de imágenes en wordpress. Hasta aquí todo bien, no queremos culpar a los usuarios y empresarios. El problema no es del usuario final o de los empresarios, son los Delegados de Protección de datos los que no están haciendo bien su trabajo y están permitiendo brechas de datos personales.