Hasta hace poco los hackers utilizaban clásicamente los ransomware para criptografar los datos de las víctimas amenazandolas de no devolver el acceso excepto a cambio de dinero de un rescate, pero ahora las extorsiones online tienen una evolución más mezquina en las que los cibercriminales amenazan de informar la Autoridad de Protección de Datos Italiana sobre la falta de medidas de seguridad establecidas desde el GDPR.

A comunicar este fenómeno ha sido el investigador informático Victor Gevers, que ha revelado como en una campana de extorsiones online cada hacker habría conseguido el acceso a 23.000 server mediante internet utilizando los instrumentos automatizados para buscar cual de ellos no estaban protegidos desde credenciales de acceso, utilizando una copia de los datos que estaban memorizados y pidiendo a la víctima una solicitud de pago de “rescate” con la explícita amenaza de comunicar, a la Autoridad Supervisión, la ausencia de medidas de seguridad para asegurar la protección de datos.

Obviamente la eficacia psicológica utilizada en estos casos desde el pirata informático es considerable, porque ser pillado con las manos en la masa sin medidas de seguridad adecuadas puede costar fuertes multas, que por este tipología de violaciones pueden ser de más de 10 millones de euros o hasta el 2% del facturado anual, mientras que “el rescate” solicitado es solo de 0.015 Bitcoin (más de 100 euros en el cambio actual), y la tentación de pagar y cerrar la cuestión es fuerte para cualquiera empresa que tiene miedo de ponerse en el radar de la Autoridad de Protección de Datos con el riesgo de conseguir sanciones.

De otra parte, la víctima que deciciera de toda prisa de pagar pensado de silenciar podría obtener un efecto boomerang, porque el artículo 24 del Reglamento Europeo 2016/679 declara que cuando un responsable del tratamiento está al corriente de una violación de datos, tiene que notificarlo a la Autoridad de Protección de Datos pertinente en un plazo máximo de 72 horas después del conocimiento que terceras personas tienen la autorización de acceso a datos personales.

Esto significa que si por alguna razón remota, la Autoridad tuviera el conocimiento de la situación (por ejemplo en el caso que los interesados implicados sean objetivos de campañas de phishing, o que los database robado sea puesto en venta en el Dark Web), el responsable que pensaba de librarse del caso sería concretamente pasible de sanciones para la falta de comunicación al Garantem y en aquel momento además del daño se sumaría también la burla.

También hay que pasar por alto que cuando se trata de un criminal no se puede confiar demasiado en su «honestidad», y por lo tanto no hay garantía de que esto realmente mantendrá la promesa de silencio o no utilizar los datos que ha obtenido simplemente porque ha recibido una modesta compensación en dinero: como él te chantajeó una vez , podría hacerlo incluso una segunda vez, especialmente si se dio cuenta de que usted es uno de los que ceden fácilmente.

FUENTE: FEDERPRIVACY