Sanción de £14m a Capita por brecha de seguridad que afectó a 6.6 millones de interesados
La Autoridad inglesa de protección de datos (ICO) impuso a Capita una sanción total de £14 millones —£8 millones a Capita plc y £6 millones a Capita Pension Solutions Limited— por una brecha de seguridad que afectó a 6,6 millones de personas.
La brecha de seguridad tuvo como fuente un descargo involuntario de un archivo malicioso en el dispositivo de un empleado de la empresa, que permitió que el atacante accediera a casi un terabyte de datos personales de 6.6 millones de interesados. Entre los datos comprometidos figuraban direcciones, imágenes de pasaporte, información financiera y antecedentes penales, parte de los cuales llegó a circular en la dark web. Además de afectar a Capita, el incidente repercutió en otras organizaciones, puesto que Capita Pension Solutions Limited trata datos personales en nombre de más de 600 entidades que ofrecen planes de pensiones, de las cuales al menos 325 resultaron afectadas.
El incidente se originó en marzo de 2023, en que, como consecuencia del descargo del documento, el atacante obtuvo permisos de administrador, accedió a otras áreas de la red y exfiltró casi un terabyte de datos personales. Aunque Capita activó a los diez minutos una alerta de seguridad de alta prioridad y adoptó medidas automáticas, el dispositivo no se puso en cuarentena durante las 58 horas siguientes del incidente, periodo usado por el atacante para acceder a otras áreas de la empresa y explotar los sistemas. Como consecuencia, se restablecieron todas las contraseñas de usuario, lo que impidió al personal acceder a los sistemas y a la red, y la ICO recibió al menos 93 quejas relacionadas con el ataque.
Durante la investigación, se concluyó que Capita, mínimamente, no adoptó los siguientes cuidados: (i) (i) no se evitó la escalada de privilegios y el movimiento lateral no autorizado (la ICO menciona modelos de niveles de cuentas administrativas); (ii) no se respondió adecuadamente a las alertas de seguridad (la ICO menciona la tardanza de 58 horas para responder adecuadamente al ocurrido); y (iii) no se realizaron de manera adecuada pruebas de penetración y evaluación de riesgos.
Inicialmente, el regulador anunció su intención de imponer una multa total de £45 millones, pero, tras las alegaciones de Capita y la valoración de factores atenuantes —como las mejoras introducidas después del ataque, el apoyo ofrecido a las personas afectadas y la colaboración con otros organismos reguladores y con el Centro Nacional de Ciberseguridad—, la sanción quedó fijada en £14 millones.
Por otro lado, la ICO mencionó una serie de medidas que deberán ser adoptadas por Capita, que incluye: seguir las directrices del NCSC para prevenir el movimiento lateral y aplicar el principio de mínimo privilegio en toda la organización; supervisar periódicamente las actividades sospechosas y responder con prontitud a las advertencias y alertas iniciales; compartir los resultados de las pruebas de penetración a nivel corporativo para abordar los riesgos de forma transversal; priorizar la inversión en controles de seguridad clave y verificar su eficacia; y revisar los acuerdos y responsabilidades entre responsables y encargados del tratamiento.
Además, la ICO tiene publicado entre sus Guías medidas de cumplimiento de protección de datos teniendo en cuenta ataques ransomware, importante material a ser consultado por las empresas para obtener mejores prácticas y el direccionamiento de las autoridades de protección de datos frente a temas de seguridad de la información.
En definitiva, el caso de Capita subraya la relevancia de adopción de medidas proactivas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. Para organizaciones que llevan a cabo tratamiento de datos personales de más alto riesgo, ya sea por el volumen, la naturaleza de datos, la naturaleza de interesados u otros criterios, la lección es clara: invertir en controles clave, monitorizar de forma continua y alinear roles y responsabilidades no es opcional, sino condición para reducir impacto, responsabilidad y riesgo regulatorio.