El Consejo de Transparencia y Protección de Datos de Andalucía ha registrado un total de 111 brechas de seguridad en instituciones y organismos públicos de la comunidad autónoma desde el año 2019 y hasta marzo de 2023, de las que el 60% pertenecen a la administración local, el 36% a la autonómica, y el 4% restante a la universidad y otras entidades.

Por provincias, Sevilla concentró el 39% de las brechas contabilizadas con un total de 43; seguida de Málaga, con el 26% (29) y Cádiz, con el 16% (18). Por detrás de ellas se situaron Huelva (7), Granada (6), Córdoba (4) y Almería (3), quedando Jaén sólo con una, según ha detallado el Consejo de Transparencia.

En relación a la "severidad" de la brecha -las consecuencias para los posibles afectados-, el 65% tuvo "severidad baja", es decir, las personas no se vieron afectadas o sólo encontraron algunos inconvenientes que superaron "sin grandes problemas", como por ejemplo el tiempo de reingreso de información. En segundo lugar, el 24% fue catalogado como severidad media, por lo que los afectados pudieron encontrar "inconvenientes importantes, que solventaron a pesar de algunas dificultades", como costos adicionales o denegación de acceso a servicios.

Las brechas de "severidad alta" alcanzaron el 11% del total y los afectados se enfrentaron a "consecuencias importantes, que finalmente se sortearon aunque con serias dificultades". Analizando su tipología -confidencialidad, integridad y disponibilidad-, y teniendo en cuenta que una misma brecha puede pertenecer a más de una categoría, 107 se clasificaron como "brecha de confidencialidad", esto es, se produjeron cuando personas que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, accedieron a ella. De otro lado, 32 fueron "brechas de disponibilidad", cuya su consecuencia fue la falta de acceso a los datos originales cuando fue necesario. Y 15 se consideraron "brechas de integridad", cuando se alteró la información original y la sustitución de datos pudo ser perjudicial para el individuo.

Causas más frecuentes

La causa que más brechas causó fue el ciberincidente -hacking, malware o phising- con un 45% del total. Se trata de un incidente generado por un actor externo a la organización cuyo objetivo es obtener un beneficio ilícito mediante el daño causado. Las consecuencias de estos ataques pueden conllevar el acceso a información, su exfiltración --transferir información de manera no autorizada desde un sistema informático a un lugar externo-- y el cifrado ilícito de la misma para impedir su uso.

En particular, destaca el número y el impacto de los ataques mediante llamados ransomware, ya que, además de las consecuencias mencionadas, suele provocar interrupción de los servicios durante periodos de tiempo considerables, según alertan desde el Consejo de Transparencia. Los ataques de ransomware vienen en muchos casos precedidos de ataques de phising -intento de hacerse pasar por una persona o entidad de confianza para que la víctima realice alguna acción que no debería realizar- mediante correo electrónico cuyo objetivo es el robo de credenciales de acceso a equipos como paso previo a los mismos.

El segundo incidente más común (13%) se debe mayoritariamente al robo de dispositivos, que se produce "en multitud de circunstancias y ubicaciones", siendo menores los casos de pérdida. Destacan los portátiles que solían contener "importantes cantidades de datos personales relacionados con la labor profesional de las personas usuarias". También se han producido robos o pérdida de documentación en papel con datos personales de categorías especiales y de memorias de almacenamiento (pen-drive).

La tercera causa fue los datos enviados o mostrados por error (12%). Se trata de un tipo de incidente causado por errores humanos, habitualmente empleando herramientas de correo electrónico en los que se envía información a destinatarios incorrectos. Son "numerosos" los casos en los que se emplean listas de distribución que contienen un elevado número de direcciones de correo electrónico, ya que un único error -basta con incluir la dirección de la lista- es suficiente para comunicar los datos a un elevado número de personas, según explican desde el Consejo.

El cuarto incidente más representativo (9%) se produce cuando se publican en algún medio o se comunican datos personales de forma "indebida y extensa". Puede entenderse como una generalización del caso anterior, y en la mayoría de los casos se trata de errores humanos -como, por ejemplo, publicar el DNI completo en un boletín oficial o listar datos identificativos completos de los participantes de procesos selectivos- o errores técnicos.