Reportar brecha de seguridad

Cuando se encuentra una brecha de seguridad grave, me surge la duda de cómo actuar, para que no se pueda acusar al que reporta con buena intención y al tiempo quede constancia para que alguien asuma responsabilidades del error. Recuerdo cuando se reportó un error grave de lexnet que fueron contra el mensajero.
Supongamos que he detectado un acceso que, sin usuario ni contraseña, permite ver detalles de todos los servidores y software instalado en los distintos entornos, incluyendo producción (un caramelo para orientar ataques) de una administración. Además, y eso ya enlaza con RGPD, salen los nombres de operarios y peticionarios de los pasos entre entornos.
¿Lo mando vía registro a administración y AEPD?¿Si cojo capturas puede suponerme problemas?
Si alguien tiene experiencia/lo tiene claro, se agradecen ideas.

He llamado a AEPD. Me dicen que lo ponga en conocimiento del DPD y que él debe reportar la brecha. Por separado me dicen que ponga reclamación si veo vulnerados mis datos, no es el caso. En el tema se seguridad informática de saber servidores, software y versiones no entran [mientras eso no suponga con certeza que se sacan datos personales].

Respuesta hoy de DPD, algo más de 48 h después de reportar:

Acusamos recibo de su comunicación y le confirmamos que, tal y como usted indicaba, el sistema ha permitido el acceso temporal a cierta información relativa a sistemas y aplicaciones. Sin embargo, no se han observado vulneraciones a la privacidad de ciudadanos en expedientes tramitados por la Administración.

A fin de solventar la incidencia, se ha procedido a adoptar las medidas oportunas para evitar cualquier tipo de acceso no autorizado al sistema.

Le agradecemos la información suministrada.

Hola Enrique. Me alegro de que ya hayas tenido respuesta por parte del DPD y de que se haya solventado la brecha. Respecto de tu pregunta sobre si hacer capturas de los datos puede suponer problemas la respuesta es que si, es posible.

Según tu descripción, has tenido acceso a los datos (al menos parte de ellos de carácter personal) tras detectar una brecha de seguridad. El mero hecho de acceder a datos personales sin autorización podría llegar a calificarse, a priori, como una conducta del art. 197.2. del Código Penal. Puede sonar excesivo, pero parte de la doctrina y la jurisprudencia ha llegado a considerar las conductas de white hacking como típicas (es decir, que deben calificarse como delito), incluso aunque el delito del art. 197.2 exige que el acceso (o el almacenamiento) se realice en perjuicio de tercero.

Personalmente considero que la conducta que describes es atípica, aun sin tener muy claro cómo llegaste a detectar la brecha, lo cual es relevante para calificar debidamente tu conducta (la penalista Esther Morón ha publicado bastante al respecto de las conductas de white hacking, por si te interesa profundizar).

En definitiva, aunque medie una evidente buena fe (pues según tu relato comunicaste la incidencia en cuanto la identificaste) lo prudente es eliminar cualquier dato que hayas podido almacenar y que identifique o haga identificable a una persona física.

Saludos!

2 Me gusta

Muchas gracias por la respuesta.
Sobre “sin tener muy claro cómo llegaste a detectar la brecha, lo cual es relevante para calificar debidamente tu conducta”: fue casual, unido a mi curiosidad de cacharreo.
La administración tiene un app para consultar la nómina, e indicaba había que instalar una nueva versión, sin que se actualizase la instalada oficial desde Google play. Busqué apps en que estuviesen en la web oficial y me encontré vía buscador una página con acceso libre en la que había varios apk que instalé y usé por curiodidad: como digo, no pedía usuario ni contraseña en su uso.

1 me gusta