La Agencia de Protección de Datos de Irlanda, organismo equiparable a la Agencia Española de Protección de Datos (AEPD), investiga a LinkedIn tras una denuncia realizada por un asesor jurídico español especializado en Protección de Datos.
La AEPD decidió en julio de este año elevar a la autoridad irlandesa la denuncia de Gonzalo Oliver, asesor jurídico en materia de Privacidad y Protección de Datos, en Ozonia Consultores. Además, es socio de la Asociación Española de Delegados de Protección de Datos. Irlanda el país que debe estudiar el caso dado que LinkedIn, como otras empresas tecnológicas -Facebook o Google- tienen en ese país su sede europea.
Oliver denunció el posible robo de datos sufrido por la red social, dedicada a las relaciones entre profesionales, tras un supuesto ciberataque que tuvo lugar en abril del presente año. La reclamación argumenta que la red social no realizó un tratamiento de los datos acorde a la legislación (Reglamento General de Protección de Datos). En julio de 2021, la AEPD derivó el caso a Irlanda, que como decimos se acaba de pronunciar al respecto.
La AEPD ha contactado con el denunciante y le envía la carta escrita por la Agencia de Protección de Datos de Irlanda, en la que se certifica el acuse de recibo de la reclamación y se informa de que "el caso está aún en proceso de valoración (incluyendo el aspecto de si la autoridad irlandesa es la líder para esta reclamación, o si ésta es de carácter transfronterizo)".
“Es un hecho relevante que en abril de este año elevaremos a la Agencia Española de Protección de Datos la brecha de seguridad que sufrió LinkedIn, y que ésta, tras trasladarlo a la Data Protection Comissioner (DPC) de Irlanda para su investigación, hayamos obtenido respuesta", explica Oliver, quien añade que “seguiremos muy de cerca los siguientes pasos que dé la DPC en cuanto a la brecha de seguridad que sufrió LinkedIn y que expuso datos del 75% de sus cuentas a nivel mundial. Entre los datos que se filtraron en la dark web encontramos: nombre, apellidos, dirección de correo electrónico, número de tarjetas de crédito…”.
El robo de datos a LinkedIn
En abril de este año un usuario de un foro de piratería en Internet puso a la venta datos personales que habrían quedado expuestos a hackers en LinkedIn, la red social, propiedad de Microsoft. Los datos robados incluirían nombre completo, género, número de teléfono y correo electrónico, además de información personal y profesional de sus currículums en la plataforma.
LinkedIn negó que se hubiera producido el robo de datos en la plataforma. "Desde LinkedIn hemos investigado un supuesto conjunto de datos de LinkedIn que se han puesto a la venta y hemos resuelto que en realidad se trata de una agregación de datos de varios sitios web y empresas. Se incluyen datos de perfil de miembros visibles públicamente que parecen haber sido sacados de LinkedIn. Esto no es una violación de datos de LinkedIn. Por lo que que hemos podido revisar, no se incluyeron datos de las cuentas de usuarios privados de LinkedIn", reflejó la empresa norteamericana en un comunicado.
En función de la sensibilidad de los datos robados (contraseñas, tarjetas de crédito, números de cuenta), estos tienen un precio mayor o menor en los mercados negros de Internet
Casi en paralelo al caso de LinkedIn, Facebook sufría una brecha de seguridad que dejaba al descubierto diversa información de 530 millones de cuentas de usuarios de todo el mundo. En España afectó a 11 millones de usuarios de los aproximadamente 22 millones de cuentas que existen registradas en nuestro país.
La red social fundada por Mark Zuckerberg confirmaba esta noticia, y hacía referencia a que los datos correspondían a un robo de información producido anteriormente, en 2019. Esta información volvió a aparecer en Internet.
¿Qué pasa con los datos robados?
Los datos robados siempre acaban en los mercados negros de Internet. Son comercializados de forma ilegal entre ciberdelincuentes que los utiliza para delinquir. En función de la sensibilidad de los datos robados (contraseñas, tarjetas de crédito, números de cuenta...), estos tienen un precio mayor o menor. Generalmente se exige el pago en bitcoins. El motivo es que se trata de un método de difícil rastreo. Es más complicado para la Policía conocer de dónde viene el dinero cuando las transacciones son mediante moneda virtual que cuando se hacen de la manera tradicional -tarjeta de crédito o transferencia-.
El INCIBE (Instituto Nacional de Ciberseguridad) apunta en su página web que los datos robados en Internet "se puede vender en el mercado negro como parte de enormes bases de datos de correos electrónicos (previamente verificados) para el envío de correos no deseados, el spam".