Mediaset sufrió un hackeo que logró suplantar la identidad de empleados

Mediaset sufrió una brecha de seguridad por ataques informáticos que lograron suplantar la identidad de algunos empleados del grupo de comunicación que opera canales como Telecinco, Cuatro, Boing, Divinity, Energy...

Así lo revela una resolución de la Agencia Española de Protección de Datos, consultada por Confidencial Digital, con la que se archivan las actuaciones que se abrieron tras recibir el aviso de la propia Mediaset.

Suplantación de identidad

El aviso tuvo lugar el 30 de octubre de 2020. El responsable de tratamiento de datos personales de Mediaset España Comunicación S.A. comunicó a la División de Innovación Tecnológica de la Agencia Española de Protección de Datos que en Mediaset habían detectado una “brecha de seguridad de datos personales […] relativa a suplantación de identidad de empleados”.

El resumen de la notificación que Mediaset hizo a la agencia explica de forma muy sucinta el problema que estaba sufriendo el grupo de comunicación de Telecinco y Cuatro: “Ataques de seguridad e incidentes en el tratamiento de datos personales sufridos de manera continuada desde agosto de 2020, presuntamente motivados por jaqueo de tercero/s”.

La agencia ordenó a la Subdirección General de Inspección de Datos que valorara “la necesidad de realizar las oportunas investigaciones previas con el fin de determinar una posible vulneración de la normativa de protección de datos”.

ECD se puso en contacto con Mediaset para tratar de ampliar la información sobre este incidente de ciberseguridad. Desde el grupo de comunicación que dirige Paolo Vasile explican que “de manera voluntaria” informaron de la situación a la Agencia Española de Protección de Datos, reportando las medidas previas y posteriores al hecho notificado.

Además, destacan que “la Agencia Española de Protección de Datos ha confirmado la actuación diligente de Mediaset España y ha archivado el caso”.

Brecha de confidencialidad

La resolución de la Agencia Española de Protección de Datos no aporta muchos más datos sobre en qué consistió el ataque hacker a los sistemas informáticos de Mediaset.

Sólo indica que “consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como brecha de confidencialidad, ya que personas u organizaciones que no están autorizadas, o no tienen un propósito legítimo para acceder a los datos personales, han podido acceder” a esos datos personales de empleados de Mediaset.

Lo que hizo la Agencia Española de Protección de Datos fue analizar si el grupo de comunicación había cumplido el Reglamento General de Protección de Datos, y los artículos 32, 33 y 34 que regulan tanto la seguridad del tratamiento (de los datos), la notificación de una violación de la seguridad de los datos personales a la autoridad de control, así como la comunicación al interesado.

En primer lugar, dicho reglamento obliga a las organizaciones que manejan datos personales a aplicar “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, que permitan “la seudonimización y el cifrado de datos personales” y “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, entre otros objetivos.

En caso de detectar una violación de la seguridad de los datos personales, el responsable del tratamiento de Mediaset, en este caso, debía notificarla a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

Esa notificación debe detallar “la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados”, “las posibles consecuencias de la violación de la seguridad de los datos personales” y “las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos”.

También se debe comunicar la brecha de seguridad a las personas afectadas, cuyos datos hayan sido robados o se hayan visto expuestos.

Sin sanción para Mediaset

En el caso de la brecha de seguridad de Mediaset, la Agencia Española de Protección de Datos concluye que “de la documentación aportada por la parte investigada [Mediaset] en el curso de estas actuaciones de investigación no se desprende que, con anterioridad a la brecha de seguridad, careciera de medidas de seguridad razonables en función de los posibles riesgos estimados”.

También refleja en la resolución que “no existen evidencias de que [Mediaset] no hubiera actuado de forma diligente una vez conocida la brecha de seguridad, ni que las medidas adoptadas con posterioridad al incidente aquí analizado no fueran adecuadas”.

No le constan reclamaciones ante la agencia por parte de terceros -empleados afectados- relacionadas con la presente brecha de seguridad.

Además, se indica que “tras el requerimiento de información llevado a cabo por la Inspección de esta AEPD, la parte investigada ha informado de todas las actuaciones llevadas a cabo para paliar el incidente. Informa, asimismo, de las nuevas medidas implementadas en orden de prevenir posibles ataques futuros”.

Por todo ello, la Agencia Española de Protección de Datos procede al archivo de las actuaciones de investigación, al no haber encontrado “evidencias que acrediten la existencia de infracción” por parte de Mediaset en el ámbito de la protección de datos.