GPDR: cuando la policía es el infractor

 

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Un grupo cibercriminal supuestamente robó cientos de informes policiales usando una falla de seguridad en una herramienta en línea utilizada por la policía.

En circunstancias normales, la policía es la autoridad investigadora, pero la policía del condado de Gwent en el Reino Unido tiene problemas y es investigada por no informar a los denunciantes que los informes que presentaron han sido robados por actores maliciosos.

Aparentemente, la Policía de Gwent utilizó una herramienta en línea que permite al público presentar informes contra crímenes u otros incidentes, pero no sabían que existía una falla crítica de seguridad en la herramienta que llevó un grupo cibercriminal a robar informes confidenciales presentados por 450 personas en los últimos dos años.

Las autoridades retiraron la herramienta en línea del servidor después de identificar la infracción que tuvo lugar en febrero de 2017, pero no informaron a las víctimas.

La Oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés) ha recibido un aviso estricto y actualmente está investigando el incidente.

También se supo que la herramienta en línea utilizada por el público para archivar informes fue desarrollada por el equipo de desarrollo digital de la fuerza y ​​se considera que es exclusiva de la fuerza.

Si GDPR ya estaba en vigor, las posibles repercusiones para la policía de Gwent podrían ser mucho mayores, ya que parece que violaba dos requisitos del reglamento.

Primero, bajo el GPDR (Reglamento General de Protección de Datos de la UE), se requiere que las compañías usen medidas apropiadas para proteger todos los datos personales.

¿Se ha cifrado esta información? En segundo lugar, las compañías están obligadas a reportar incidentes sospechosos a las autoridades dentro de las 72 horas, algo que la Policía de Gwent no pudo hacer o quiso hacer.

El incidente también nos recuerda los peligros de no notificar a las partes afectadas.

La policía de Gwent no ha notificado a las víctimas sobre la posible violación, poniendo a los afectados en mayor riesgo.

 

Por Josep Verdura – Analista de Seguridad de Vintegris