Categorías
Cumplimiento normativo

Me han hackeado el correo o el CRM — pasos para cumplir RGPD

¿Te han hackeado? Descubre el protocolo legal y técnico para cumplir con el RGPD, gestionar la notificación a la AEPD y proteger los datos de tu CRM y correo corporativo.

Especialista en cumplimiento normativo y ciberseguridad analizando un hackeo de correo corporativo.
El tiempo es el factor más crítico cuando se produce una brecha de seguridad en el CRM o el correo.

Brecha de seguridad: me han hackeado el correo o el CRM — pasos legales y técnicos para cumplir RGPD

Como abogado especializado en derecho digital, he vivido muchas mañanas de lunes que empiezan con una llamada de pánico: «Han entrado en mi correo y están enviando facturas falsas» o «No puedo acceder al CRM y parece que han descargado la base de datos de clientes». En ese instante, el empresario siente que su negocio se desmorona, pero mi labor es recordarle que, más allá del problema técnico, tiene una responsabilidad legal ineludible. El Reglamento General de Protección de Datos (RGPD) no castiga que te hackeen (nadie es 100% invulnerable), lo que castiga es que no sepas qué hacer cuando ocurre.

En esta guía extensa voy a desglosar el protocolo de actuación que sigo en mi despacho. Vamos a separar lo urgente de lo importante, y lo técnico de lo legal, para que puedas cumplir con la AEPD y, sobre todo, para que protejas la reputación de tu empresa.

El concepto de brecha de seguridad en el RGPD

Lo primero que debemos entender es qué considera la ley una brecha de seguridad. No es solo que un hacker ruso entre en tus servidores. Según el RGPD, es cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Esto incluye:

  • Un ataque de ransomware que cifra tus archivos.
  • La pérdida de un ordenador portátil o un USB con datos de clientes.
  • El acceso no autorizado a la cuenta de correo de un empleado.
  • Un error humano que envía un listado de clientes a la persona equivocada.

Si te han hackeado el correo o el CRM, estamos ante un acceso no autorizado. Esto es, por definición, una brecha de seguridad.

El reloj de las 72 horas: Notificación a la AEPD

Aquí es donde la mayoría de las pymes fallan por puro desconocimiento. El artículo 33 del RGPD establece que, en caso de brecha de seguridad, el responsable del tratamiento debe notificarla a la autoridad de control (en España, la AEPD) de forma inmediata y, a más tardar, 72 horas después de haber tenido constancia de ella.

¿Cuándo empiezan a contar las 72 horas?

El plazo empieza a contar desde que tienes «constancia». No desde que ocurrió el hackeo (que pudo ser hace semanas), sino desde que tú o cualquier empleado de tu organización detectáis que algo va mal. Por eso es vital que tus empleados sepan identificar un incidente y reportarlo internamente de inmediato.

¿Hay que notificar siempre?

No necesariamente. Solo hay que notificar si es probable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas. Por ejemplo, si te hackean el correo pero este no contenía datos de terceros ni accesos a otros sistemas, podrías concluir que no hay riesgo. Sin embargo, si te hackean el CRM, donde hay nombres, DNIs, tarjetas de crédito o direcciones de clientes, el riesgo es evidente y la notificación es obligatoria.

Pasos técnicos urgentes: Recuperar el control del correo corporativo

Mientras el equipo legal evalúa la notificación, el equipo técnico (o tú mismo, si eres autónomo) debe tapar la vía de agua. Si tu correo corporativo ha sido hackeado, sigue este protocolo de emergencia:

  1. Cambio de contraseñas inmediato: Desde un dispositivo limpio (no el que crees que está infectado), cambia la contraseña de la cuenta afectada y de todas las que compartan la misma clave. Usa frases complejas, números y símbolos.
  2. Cerrar sesiones activas: En la configuración de seguridad de Google Workspace o Microsoft 365, busca la opción de «cerrar todas las sesiones» o «cerrar sesión en todos los dispositivos». Esto expulsará al hacker si todavía está dentro.
  3. Activar el Doble Factor de Autenticación (2FA): Esta es la medida de seguridad más efectiva. Si no la tenías, actívala ya. Es la barrera que impedirá que vuelvan a entrar aunque consigan tu contraseña.
  4. Revisar reglas de reenvío: Es un truco clásico. El hacker entra, pone una regla para que todos tus correos se reenvíen a una cuenta suya y se sale. Aunque cambies la contraseña, él seguirá recibiendo tus correos. Revisa las configuraciones de reenvío y filtros.
  5. Escanear con antivirus profesional: Pasa un análisis profundo a todos los dispositivos que tuvieran acceso a esa cuenta. Podrías tener un keylogger (un programa que registra lo que escribes) o un troyano.

CRM comprometido: El escenario de pesadilla

Si el ataque ha llegado al CRM, la situación escala. El CRM es el corazón de tu negocio y donde reside tu mayor activo: los datos de tus clientes.

Qué hacer si el CRM es externo (SaaS)

Si usas un CRM tipo Salesforce, HubSpot o Zoho, lo primero es contactar con su soporte técnico. Ellos tienen sus propios protocolos y podrán decirte desde qué IP se accedió y qué datos se exportaron. En este caso, el proveedor es el «Encargado de Tratamiento» y tú el «Responsable». Él tiene la obligación de ayudarte y de informarte sobre la brecha sin dilación.

Qué hacer si el CRM es propio

Si el CRM está en tus servidores, la situación es más compleja. Necesitas un análisis forense digital. No toques nada más de lo necesario para no destruir pruebas. Un profesional deberá identificar la vulnerabilidad por la que entraron (un plugin desactualizado, una inyección SQL, etc.) y parchearla antes de volver a poner el sistema online.

Comunicación a los afectados: Cuándo y cómo decir «nos han hackeado»

Esta es la parte que más asusta a las empresas por el daño reputacional. El artículo 34 del RGPD dice que si el riesgo para los afectados es «alto», debes comunicarles la brecha sin dilación indebida.

Criterios para comunicar a los clientes

  • Riesgo Alto: Si se han filtrado datos bancarios, contraseñas, datos de salud o información que pueda dar lugar a suplantación de identidad o fraude.
  • No es necesario si: Los datos estaban cifrados con algoritmos fuertes y el hacker no tiene la llave, o si has tomado medidas posteriores que garantizan que el riesgo ya no existe.

Cómo redactar el mensaje a los clientes

El mensaje debe ser claro y transparente. No uses lenguaje técnico complejo. Debe incluir:

  • Qué ha pasado de forma sencilla.
  • Qué datos se han visto afectados.
  • Qué medidas has tomado para solucionarlo.
  • Recomendaciones para ellos (por ejemplo: «cambien su contraseña si usaban la misma que en nuestro portal»).
  • Un punto de contacto para dudas (DPO o servicio de atención al cliente).

El Registro Interno de Brechas de Seguridad

Incluso si decides que el riesgo es bajo y no notificas a la AEPD, debes documentar el incidente. El RGPD obliga a todas las empresas a llevar un registro interno de todas las brechas de seguridad.

Este documento debe recoger:

  • Los hechos relativos a la brecha.
  • Sus efectos.
  • Las medidas correctivas adoptadas.

Si en el futuro tienes una inspección de la AEPD por cualquier otro motivo, este registro demostrará que tienes un sistema de control y que actuaste con diligencia. No tener este registro es, en sí mismo, una infracción.

Las consecuencias de no actuar: Multas y algo peor

La AEPD no suele multar por el hackeo en sí, sino por la falta de medidas de seguridad previas o por no gestionar la brecha correctamente después. Las sanciones pueden llegar a ser astronómicas, pero para una pyme lo más doloroso suele ser la pérdida de confianza de los clientes y la posible responsabilidad civil (indemnizaciones) si los afectados sufren daños económicos por tu negligencia.

Medidas preventivas para que no vuelva a ocurrir

Una vez pasada la tormenta, es el momento de la reflexión y la mejora:

  1. Formación al personal: El 90% de los hackeos de correo empiezan por un email de phishing que un empleado abre sin pensar. La formación es la mejor defensa.
  2. Políticas de contraseñas robustas: Nada de «123456» o el nombre de la empresa. Usa gestores de contraseñas.
  3. Copias de seguridad desconectadas: Si sufres un ransomware, tus copias en la nube podrían infectarse también. Ten siempre una copia física o en un entorno aislado.
  4. Auditorías de seguridad periódicas: No esperes a que te roben para saber por dónde pueden entrar.

Conclusión: La proactividad como escudo legal

En mi experiencia, las empresas que mejor salen de una brecha de seguridad son aquellas que tienen un protocolo de respuesta ya escrito. Saber a quién llamar, qué pasos técnicos dar y tener un borrador de notificación a la AEPD ahorra un tiempo precioso en esas primeras 72 horas.

El RGPD es exigente, pero también es una guía de buenas prácticas. Si demuestras que tenías medidas de seguridad, que detectaste el ataque rápido, que lo bloqueaste y que fuiste transparente con la Agencia y con tus clientes, tu responsabilidad se verá muy reducida.

Logo Chat

NOMBRE CLIENTE

Chat

-
Logotipo de whatsapp

¡Hola! Bienvenido a , ¿Qué necesita?

Botón de WhatsApp