Si has recibido un correo electrónico o un SMS supuestamente enviado por tu entidad financiera, es fundamental identificar el phishing antes de facilitar cualquier dato personal o bancario. Este tipo de fraude digital no solo afecta a particulares, sino que puede comprometer gravemente la responsabilidad legal de las empresas en materia de protección de datos. Por ello, las ideas claves a analizar son, en esencia:
- De un lado, el phishing es una técnica de suplantación de identidad con fines fraudulentos.
- De otro, puede implicar una violación de la seguridad de los datos personales conforme al artículo 4.12 del RGPD.
- A continuación, las empresas deben aplicar medidas técnicas y organizativas adecuadas (artículo 32 RGPD).
- Igualmente, una filtración derivada de phishing puede obligar a notificar a la AEPD (artículos 33 y 34 RGPD).
- A su vez, la prevención y la formación interna son obligaciones legales, no solo recomendaciones.
Tabla de contenidos
- ¿Qué es el phishing desde el punto de vista jurídico?
- ¿Cómo identificar el phishing bancario en la empresa?
- Identificar el phishing: protección de datos y responsabilidad empresarial
- Identificar el phishing y deber de información interna
- Impacto reputacional y sancionador al no identificar el phishing y actuar adecuadamente
- Recomendaciones prácticas para empresas al identificar el phishing
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos
¿Qué es el phishing desde el punto de vista jurídico?
En primer lugar, el phishing consiste en la suplantación de identidad de una entidad legítima para obtener datos confidenciales. Habitualmente se realiza mediante correo electrónico, SMS o mensajería instantánea.
Desde el plano penal, puede encajar en el delito de estafa regulado en el artículo 248 del Código Penal, cuando exista ánimo de lucro y engaño bastante. Además, puede concurrir con delitos de descubrimiento y revelación de secretos previstos en los artículos 197 y siguientes del Código Penal.
Por otra parte, desde la perspectiva de protección de datos, el phishing puede derivar en una violación de la seguridad de los datos personales. Así se deriva del artículo 4.12 del RGPD.
En consecuencia, no se trata solo de un fraude económico. También, puede generar responsabilidad administrativa para la empresa afectada. Así, esto ocurrirá cuando se aprecie incumplimiento de las obligaciones previstas en el RGPD.
¿Cómo identificar el phishing bancario en la empresa?
Para identificar el phishing correctamente, conviene analizar ciertos elementos objetivos. De este modo, alguna de las señales habituales son, entre otras:
- Primero, direcciones de correo que no coinciden exactamente con el dominio oficial.
- Segundo, enlaces acortados o con dominios ligeramente modificados.
- Tercero, solicitudes urgentes de actualización de datos.
- Cuarto, amenazas de bloqueo inmediato de la cuenta.
- Quinto, errores gramaticales o redacción imprecisa.
Asimismo, el Instituto Nacional de Ciberseguridad (INCIBE) advierte públicamente sobre este tipo de prácticas en sus comunicaciones oficiales.
Ahora bien, aunque el mensaje parezca verosímil, las entidades financieras suelen actuar de manera diferente. Es decir, conforme a sus protocolos habituales de seguridad y a las recomendaciones oficiales de organismos como INCIBE. Por ello, no suelen solicitar claves completas ni códigos de verificación por correo electrónico o SMS.
| Señal detectada | Nivel de riesgo | Actuación recomendada |
| Dominio alterado | Alto | No hacer clic y verificar en web oficial |
| Solicitud urgente de datos | Alto | Contactar con banco por canal oficial |
| Enlace acortado | Medio/Alto | No abrir; analizar URL real |
| Errores gramaticales | Medio | Extremar verificación |
| Petición de claves completas | Crítico | Nunca facilitar información |
Identificar el phishing: protección de datos y responsabilidad empresarial
De un lado, a la hora de identificar el phishing, existe la obligación de aplicar medidas de seguridad. De otro, puede existir la obligación de notificar a la AEPD.
Obligación de aplicar medidas de seguridad al identificar el phishing (artículo 32 RGPD)
Las empresas están obligadas a implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. De este modo, el artículo 32 del RGPD establece expresamente esta obligación. Entre otras medidas, pueden incluirse:
- Protocolos de verificación de comunicaciones financieras.
- Sistemas de filtrado de correo electrónico.
- Autenticación multifactor.
- Formación periódica a empleados.
- Procedimientos internos de reporte inmediato.
Por tanto, la prevención del phishing se integra en la obligación de aplicar medidas técnicas y organizativas apropiadas prevista en el artículo 32 del RGPD.
¿Cuándo existe obligación de notificar a la AEPD al identificar el phishing?
Si el phishing ha provocado acceso no autorizado a datos personales, nos encontramos ante una violación de la seguridad de los datos personales conforme al artículo 4.12 del RGPD.
En tal caso, el artículo 33 del RGPD obliga al responsable del tratamiento a notificar la violación a la autoridad de control competente en un plazo máximo de 72 horas. No obstante, se puede exceptuar si resulta improbable que constituya un riesgo para los derechos y libertades de las personas físicas.
Además, el artículo 34 del RGPD exige comunicar la brecha a los interesados cuando el riesgo sea alto. Por ello, no basta con resolver internamente el incidente. En consecuencia, debe realizarse una evaluación jurídica documentada del riesgo.
| Situación | ¿Hay brecha? | ¿Notificación AEPD? | ¿Comunicación a afectado? |
| Email fraudulento sin interacción | No | No | Sin comunicación |
| Usuario hace clic pero no introduce datos | Depende del análisis | Depende del riesgo | Solo si hay alto riesgo |
| Se facilitan credenciales | Puede existir brecha si permiten acceso a datos personales | Dependerá del análisis del riesgo (art. 33 RGPD) | Si el riesgo es alto (art. 34 RGPD) |
| Acceso confirmado a datos personales | Existe brecha | Sí (art. 33 RGPD) | Si alto riesgo (art. 34) |
Identificar el phishing y deber de información interna
El principio de responsabilidad proactiva recogido en el artículo 5.2 del RGPD implica que la empresa debe poder demostrar el cumplimiento normativo. En consecuencia, la formación en ciberseguridad se integra dentro de las medidas organizativas apropiadas que el responsable debe aplicar. Todo ello, conforme a los artículos 24 y 32 del RGPD.
Asimismo, el artículo 24 del RGPD obliga al responsable a aplicar medidas apropiadas teniendo en cuenta la naturaleza, el ámbito y los riesgos del tratamiento. Así pues, en entornos empresariales, el riesgo de phishing suele ser elevado, especialmente cuando se gestionan:
- Primero, datos financieros.
- Segundo, datos de clientes.
- Tercero, nóminas y datos laborales.
- Cuarto, información estratégica.
Por tanto, identificar el phishing no es solo una cuestión técnica. Es una exigencia de cumplimiento normativo.
Impacto reputacional y sancionador al no identificar el phishing y actuar adecuadamente
Para finalizar, la AEPD puede imponer sanciones administrativas conforme al artículo 83 del RGPD. En consecuencia, las infracciones relativas a medidas de seguridad pueden alcanzar multas administrativas significativas, dependiendo de la gravedad y del volumen de datos afectados.
Además, el artículo 82 del RGPD reconoce el derecho de los interesados a reclamar indemnización por daños y perjuicios. Por ello, la gestión preventiva del phishing reduce riesgos económicos, legales y reputacionales.
Recomendaciones prácticas para empresas al identificar el phishing
Para reducir el riesgo jurídico, conviene tomar medidas. Entre otras, se recomienda:
- Primero, establecer protocolos internos de verificación bancaria.
- Segundo, realizar simulaciones de phishing.
- Tercero, documentar incidentes y decisiones.
- Cuarto, revisar periódicamente el análisis de riesgos.
- Quinto, coordinar al DPO o asesor jurídico ante cualquier sospecha.
En Legal Veritas analizamos la exposición al riesgo digital de tu empresa y revisamos tus protocolos conforme al RGPD y a la normativa española vigente. Te recomendamos evaluar el nivel de cumplimiento de tu organización y revisar tus procedimientos ante ciberataques. Para ello, puedes contactar con nuestro equipo especializado.
Este texto que acabas de leer está redactado con carácter meramente informativo, ya que cada caso debe estudiarse de forma individual. Por tanto, si quieres asegurarte de adoptar medidas adecuadas para proteger la información adecuada, contacta con un equipo de expertos en la materia como Legal Veritas.
Preguntas Frecuentes (FAQ)
Sí, cuando el ataque evidencia la ausencia de medidas adecuadas. Para ello, el artículo 32 del RGPD exige aplicar medidas técnicas y organizativas apropiadas. Así, si la empresa no puede acreditar diligencia suficiente, la AEPD podría apreciar infracción administrativa conforme al artículo 83 del RGPD. Por tanto, la responsabilidad no deriva del ataque en sí, sino de la insuficiencia de medidas preventivas.
No necesariamente. Para comenzar, porque el artículo 33 del RGPD establece la obligación de notificar cuando la violación de seguridad suponga un riesgo para los derechos y libertades de las personas físicas. Por tanto, debe realizarse un análisis previo del riesgo. Si no se ha producido acceso, alteración o pérdida de datos personales y del análisis realizado resulta improbable que exista riesgo para los derechos y libertades de las personas físicas, puede no ser obligatorio notificar conforme al artículo 33 del RGPD.
El artículo 34 del RGPD exige informar a los interesados cuando la brecha entrañe un alto riesgo. Así pues, esta comunicación debe realizarse sin dilación indebida. Además, debe describir la naturaleza de la violación y las medidas adoptadas. En consecuencia, no basta con un aviso genérico.
Sí, dependiendo del caso concreto. El artículo 248 del Código Penal tipifica la estafa. Asimismo, el artículo 197 del Código Penal sanciona el acceso indebido a datos reservados. Por tanto, la concurrencia delictiva dependerá de la conducta y del perjuicio ocasionado.
Fuentes y recursos
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Código Penal: Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
- INCIBE: Phishing.
FIN LLAMADAS TELEFÓNICAS SIN CONSENTIMIENTO
Deja una respuesta