Las empresas alemanas son cada vez más víctimas de los llamados hackers y sus ataques. Pero no todos los piratas informáticos son iguales y los factores a tener en cuenta en la protección de datos difieren de un ataque a otro.
Datos personales y piratas informáticos
Se denomina coloquialmente hackers a las personas que penetran (normalmente de forma ilegal) en los sistemas informáticos. En un ataque de este tipo, los atacantes no conceden gran importancia a la protección de los datos. Por otra parte, la escucha selectiva de datos personales no suele ser su principal objetivo. Más bien, las violaciones de la protección de datos en los ataques de hackers suelen ser "daños colaterales". No obstante, se ha producido una violación de la protección de datos.
Para dificultar el acceso de un posible atacante, debe llevarse a cabo un procedimiento seguro aplicando el procedimiento IT-Grundschutz de acuerdo con las normas BSI para aumentar la seguridad de la información en la empresa. El objetivo debe ser procesar los datos con arreglo a las normas más estrictas para que sea menos probable el éxito de un ataque de piratas informáticos.
Como cliente de una empresa, usted no tiene ninguna influencia sobre estos factores ni sobre el tratamiento de sus propios datos, la mayoría de las veces confía ciegamente sus datos a las empresas, razón por la cual las leyes de protección de datos imponen automáticamente un tratamiento seguro de los datos en las empresas de la UE, de conformidad con el artículo 32 del RGPD sobre la seguridad del tratamiento.
Tipos de hackers
Aunque el término coloquial hacker se equipara inmediatamente con el acceso ilegal a sistemas informáticos ajenos, esto no siempre es cierto.
Básicamente, se puede distinguir entre el "hacker de sombrero blanco", el "hacker de sombrero gris" y el "hacker de sombrero negro". La gradación de colores del blanco al gris y al negro simboliza hasta qué punto el pirata informático sigue estando dentro de la ley. Mientras que un "hacker de sombrero blanco" suele recibir el encargo de una empresa para encontrar vulnerabilidades de seguridad, el "hacker de sombrero negro" actúa con intenciones maliciosas y egoístas. El hacker de sombrero blanco colabora con la empresa y, en consulta con ella, realiza pruebas de penetración que sirven para aumentar y endurecer la seguridad informática. El "hacker de sombrero negro" busca vulnerabilidades de la misma manera, pero quiere explotarlas por sus propios motivos económicos o simplemente perjudicar a la empresa.
Entre estos extremos se encuentra el "hacker de sombrero gris". Este hacker se mueve en una zona gris legal. Penetra sin permiso en sistemas informáticos ajenos para encontrar agujeros de seguridad. Pero, por regla general, no los explota en beneficio propio, sino que los publica. Sin embargo, el perjuicio es muy alto para una empresa, ya que no sólo se causa un daño económico, sino que la imagen sufre permanentemente. En algunos casos, los "hackers de sombrero gris" también informan a la empresa en cuestión de que han encontrado una vulnerabilidad de seguridad y posteriormente reciben una compensación económica por sus esfuerzos (programa bug bounty).
Además de estas gradaciones, también existen grupos como los hacktivistas, que actúan por motivos políticos o sociales. Quieren encarnar un mensaje con sus acciones. También actúan ilegalmente, pero a menudo no son condenados porque el perjuicio para las empresas afectadas es demasiado pequeño.
Consecuencias de un atentado
Tan pronto como se produzca una violación de la protección de datos (por ejemplo, un ataque ilegal de piratas informáticos), el incidente debe notificarse con arreglo a la ley de protección de datos (plazo de 72 horas). Este suele ser el caso de los hackers de "sombrero negro" o "sombrero gris". Para mantener los riesgos de protección de datos lo más bajos posible, es esencial contar con asesoramiento profesional.
También debe solicitarnos previamente asesoramiento y apoyo profesional sobre medidas de protección concretas.