AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

**Incumplimientos en la gestión de solicitudes de acceso y borrado de datos exponen carencias críticas en la protección de la privacidad**

admin

### 1. Introducción

El auge de la regulación en materia de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Privacidad del Consumidor de California (CCPA), ha llevado a que las organizaciones tengan la obligación legal de permitir a los usuarios acceder, modificar o eliminar sus datos personales. Sin embargo, recientes investigaciones y auditorías han sacado a la luz una preocupante realidad: un porcentaje significativo de empresas sigue incumpliendo las solicitudes de acceso y supresión de datos por parte de los consumidores. Este fenómeno pone de relieve la urgente necesidad de establecer procesos de verificación estandarizados y mecanismos de cumplimiento más robustos para salvaguardar la privacidad de los usuarios y evitar sanciones regulatorias.

### 2. Contexto del Incidente o Vulnerabilidad

Varios estudios realizados en 2023 y 2024, incluyendo auditorías de la Electronic Frontier Foundation (EFF) y la Comisión Federal de Comercio de EEUU (FTC), han detectado que hasta un 40% de las empresas analizadas no responde de forma adecuada a las solicitudes de los usuarios referentes al acceso o eliminación de sus datos personales. Las organizaciones incumplidoras pertenecen a sectores tan diversos como retail, servicios financieros, tecnología y redes sociales. El problema radica no solo en la falta de procedimientos internos, sino también en la ausencia de métodos fiables para verificar la identidad del solicitante, lo que abre la puerta a riesgos de ingeniería social y acceso no autorizado a información sensible.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Desde el punto de vista técnico, la carencia de procesos estandarizados de verificación de identidad aumenta la superficie de ataque para amenazas como:

– **Ingeniería social** (MITRE ATT&CK T1586 – Compromiso de cuentas): Atacantes pueden suplantar identidades para solicitar la descarga o eliminación de los datos de otras personas.
– **Falta de autenticación multifactor**: Muchas empresas siguen utilizando únicamente el correo electrónico como identificador, facilitando ataques de phishing (T1566) y credential stuffing (T1110).
– **Endpoints expuestos**: APIs para la gestión de solicitudes de datos a menudo carecen de controles de acceso adecuados, lo que puede permitir la explotación automatizada mediante scripts o herramientas como Burp Suite o Postman.
– **Ausencia de registros (logging) robustos**: La falta de trazabilidad impide detectar solicitudes fraudulentas o anomalías en el procesamiento de datos personales.

No existe un CVE específico para este tipo de fallos, ya que se trata de una combinación de debilidades en la gestión de procesos y fallos de implementación en los sistemas de autenticación y autorización. Sin embargo, se han identificado indicadores de compromiso (IoC) como patrones inusuales de solicitudes desde IPs desconocidas, correos electrónicos recién creados o intentos masivos de acceso a funciones de borrado de datos.

### 4. Impacto y Riesgos

El impacto de estos incumplimientos es significativo:

– **Riesgo regulatorio**: En la UE, las multas por vulnerar el GDPR pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual.
– **Exposición de datos**: La falta de verificación puede desembocar en fugas de datos personales o la eliminación no autorizada de información crítica.
– **Pérdida de confianza**: Los consumidores cada vez otorgan mayor importancia a la privacidad; los fallos en la gestión de sus derechos pueden afectar gravemente la reputación de la marca.
– **Ciberamenazas**: La explotación de estos procesos por parte de actores maliciosos puede facilitar ataques de spear phishing, robo de identidad o fraude financiero.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar estos riesgos, se recomienda:

– **Implantar procesos robustos de verificación de identidad**, incluyendo autenticación multifactor y verificación cruzada de datos.
– **Auditoría y revisión periódica** de los procedimientos para la gestión de solicitudes de acceso y borrado.
– **Monitorización de logs de acceso** y detección de patrones anómalos mediante SIEM (Security Information and Event Management).
– **Formación continua** a los equipos de atención al cliente y soporte técnico en técnicas de ingeniería social y buenas prácticas de privacidad.
– **Automatización segura de procesos** mediante frameworks que permitan la trazabilidad, como ServiceNow o OneTrust, integrados con controles de acceso basados en roles (RBAC).

### 6. Opinión de Expertos

Según María López, CISO de una multinacional tecnológica: “La falta de estandarización en la verificación de identidad es el principal eslabón débil en la cadena de protección de derechos de los usuarios. Sin controles sólidos, las empresas no solo incumplen la ley, sino que abren la puerta a incidentes de seguridad de gran impacto”.

Por su parte, el analista de amenazas Pablo García, destaca: “Los atacantes buscan puntos ciegos en los procesos de gestión de datos. Si una API o un formulario web no exige una autenticación fuerte, es cuestión de tiempo que sea explotado, especialmente usando herramientas automatizadas o técnicas de social engineering”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la implicación es clara: el cumplimiento de las normativas de privacidad ya no es opcional. La llegada de NIS2 y las actualizaciones de GDPR exigen una trazabilidad y control exhaustivo sobre los datos personales. Los usuarios, por su parte, deben exigir transparencia y garantías de que sus derechos serán respetados y gestionados con seguridad.

### 8. Conclusiones

La incapacidad de muchas organizaciones para gestionar de forma segura las solicitudes de acceso y eliminación de datos personales expone no solo a sanciones económicas, sino también a incidentes de seguridad de alto impacto. La solución pasa por la adopción de procesos de verificación estandarizados, la automatización segura y la formación continua de los equipos implicados. El cumplimiento normativo y la protección efectiva de la privacidad del usuario deben ir de la mano para afrontar los retos actuales del panorama de ciberseguridad.

(Fuente: www.darkreading.com)