250.000 de multa a Ayesa por el ciberataque de abril de 2024

La Agencia Española de Protección de Datos (Aepd) ha sancionado a la multinacional Ayesa, en concreto a su filial Alía Gestión, con 250.000 euros por una infracción grave por su responsabilidad en la filtración de datos derivada del ciberataque que cometió Black Basta a sus servidores internos en abril de 2024, cinco días de brecha de seguridad que permitieron la exposición de datos sensibles de, al menos, 77.027 personas, aunque la admisión de la responsabilidad y el pronto pago han reducido la cuantía a 150.000 euros.

El ciberataque de Black Basta, según la resolución del expediente de la Aepd al que ha tenido acceso Viva Sevilla, destaca la gravedad de la infracción por la “ausencia de medidas técnicas y organizativas de todo tipo”, que redundaron en la brecha de seguridad, tanto por la disponibilidad de los datos como la propia confidencialidad, al incluir, no sólo los documentos de identidad de los afectados sino también datos de localización, de comunicación privada y de datos financieros.

Destaca la Aepd el número de afectados, que estima “como mínimo” en 77.027 y que no sólo son españoles, sino que pertenecen a otros países de la Unión Europea como Irlanda, Italia, Polonia y Portugal. “Debe subrayarse el elevado número de datos personales que se vieron comprometidos”, insiste la resolución sancionadora, que además resalta la duración de la infracción, puesto que la brecha de seguridad se extendió, según la Aepd, desde el 19 de abril hasta el 24 de abril de 2024, cinco días.

Incide no sólo en la gravedad del tipo de datos filtrados sino también en la “vinculación de la actividad del infractor”, puesto que Alía Gestión, la filial de Ayesa, “se dedica a la prestación de servicios integrales de apoyo a otras empresas”, con tratamiento “habitual y continuo” de datos de carácter personal de personas físicas, a lo que se suma que parte de ellos estaban vinculados a la Fundación Ayesa y eran de menores, como reconoció la propia empresa.

Aunque la Aepd establece como atenuante el hecho de que Alía Gestión sí adoptó medidas tras la brecha de seguridad, fija una sanción de multa administrativa de 250.000 euros por vulnerar el artículo 5.1.f) del RGPD, sobre el principio de integridad y confidencialidad y que exige que los datos personales sean tratados de manera que se garantice una seguridad adecuada, protegiéndolos contra el tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental mediante medidas técnicas y organizativas.

La empresa ha procedido al “reconocimiento de la responsabilidad y al pago voluntario de la sanción”, acogiéndose a las dos deducciones previstas en la Ley, el 20% del total de la sanción en cada caso, por lo que finalmente ha abonado 150.000 euros de multa, cerrándose así el procedimiento administrativo. Eso sí, queda abierta la vía de lo contencioso-administrativo y al que podrá acogerse cualquiera de los afectados en un plazo de dos meses a contar desde la comunicación de la resolución del expediente.

Ante la Agencia de Protección de Datos se presentaron dos denuncias, una inicial del sindicato ASC y otra posterior del Comité de Empresa, pero no contra la filial Alía Gestión SL, sino contra Ayesa Advanced Technologies. Como ya avanzó en su día Viva Sevilla, los trabajadores consideraron que se habían visto expuestos en el ciberincidente y la empresa “habría informado a los empleados de que sólo han quedado expuestos los datos de 35 de ellos pero que a través de terceros, han tenido conocimiento de que han sido muchos más los trabajadores afectados y a los que la entidad no ha comunicado nada”. También señala la existencia de “algunas comunicaciones de la entidad Enel, según la parte reclamante, a “trabajadores de Ayesa que prestan su servicio para la empresa Enel” indicando que "sus credenciales podrían haberse visto comprometidas”.

La denuncia fue interpuesta dos semanas antes de que el grupo de ciberdelincuentes Black Basta confirmara su amenaza y publicara en su blog de la dark web los 4,5 terabytes de datos que había sustraído a Ayesa, entre los que se encontraban, proyectos relevantes para la compañía como los de Perú o Panamá, actas de accionistas, reparto de dividendos, escrituras, revocación de poderes, infinidad de proyectos de ingeniería (puentes, carreteras, desaladoras) sin olvidar que ya se hizo pública una relación de una treintena de trabajadores, de los cuales disponía de sus DNI, pasaportes o tarjetas de identificación, incluyendo hasta un montaje con las fotografías de esa documentación. Es más, hasta había documentación de los máximos dirigentes de la compañía en aquellas fechas, como son José Luis Manzanares y otros directivos.