Por qué el uso de contraseñas compartidas le costó 400.000 € a un banco español

Imagine entrar en una cámara acorazada de alta seguridad y descubrir que todos los empleados utilizan exactamente la misma llave física. Si desaparece un fajo de billetes, ¿cómo determinar quién abrió la puerta? Este no es el argumento de una película de robos; es la realidad digital que llevó a la Agencia Española de Protección de Datos (AEPD) a imponer una multa de 400.000 € a Unicaja Banco.

En el núcleo de este caso se encuentra un fallo fundamental en lo que denominamos control de acceso. En el mundo de la ciberseguridad, el control de acceso es el vigilante digital que decide quién puede ver qué. Para Unicaja, el vigilante estaba esencialmente dormido en su puesto, permitiendo que múltiples operadores accedieran a grabaciones sensibles de videovigilancia utilizando credenciales compartidas y genéricas.

El fantasma en la máquina

Cuando la AEPD investigó las prácticas de vigilancia del banco, descubrió una vulnerabilidad sistémica. En lugar de que cada oficial de seguridad tuviera un nombre de usuario y contraseña únicos —una práctica conocida como cuentas nominativas—, el banco dependía de inicios de sesión compartidos. Desde un contexto regulatorio, este es un pecado capital. Si cinco personas utilizan el usuario 'Security_Admin', el banco pierde toda la trazabilidad.

La trazabilidad es el rastro de migas de pan que permite a una organización reconstruir quién accedió a los datos personales, cuándo lo hizo y qué consultó. Sin ella, el banco no podía demostrar que las personas que observaban las cámaras estaban autorizadas para hacerlo en ese momento específico. Bajo el RGPD, los datos son un activo tóxico si no se manejan con extremo cuidado; las imágenes de video de los ciudadanos son particularmente sensibles porque capturan el comportamiento, el movimiento y la identidad en espacios públicos y privados.

El mito del encargado de tratamiento ajeno

Uno de los aspectos más interesantes de esta resolución es cómo aborda la relación entre el 'Responsable del Tratamiento' (el banco) y su 'Encargado del Tratamiento' (la empresa de seguridad externa). En términos sencillos, el Responsable es el jefe que decide por qué se recogen los datos, y el Encargado es el contratista contratado para realizar el trabajo real.

Unicaja argumentó que la empresa de seguridad era responsable de la implementación técnica del sistema de vigilancia. Sin embargo, la AEPD no aceptó este argumento. A ojos de la ley, el Responsable es el capitán del barco. Se puede delegar la tarea de timonear, pero no se puede delegar la responsabilidad de mantener el rumbo. Unicaja falló al supervisar a su encargado, firmando esencialmente un contrato y mirando hacia otro lado mientras el contratista utilizaba métodos de inicio de sesión inseguros y obsoletos.

El cumplimiento como brújula, no como lista de verificación

Esta sanción de 400.000 € sirve como un firme recordatorio de que el cumplimiento no es una tarea de "configurar y olvidar". Es un proceso continuo de navegación. La AEPD ha dado a Unicaja tres meses para reformar por completo su enfoque de seguridad de video. No se trata solo de cambiar contraseñas; se trata de reconstruir los cimientos de su arquitectura de privacidad.

Para cumplir con la normativa, el banco debe implementar varias medidas robustas:

• Identificación Individual: Cada persona con acceso a la señal de video debe tener una cuenta única y nominativa.
• Control de Acceso Basado en Roles (RBAC): El acceso debe ser granular. Un guardia junior podría necesitar ver señales en vivo, pero solo un gerente senior debería poder exportar o eliminar grabaciones.
• Registro Exhaustivo (Logging): El sistema debe registrar automáticamente cada inicio de sesión, cierre de sesión y acceso a archivos, creando un rastro de auditoría permanente y a prueba de manipulaciones.

Lecciones del cuaderno del detective digital

Como alguien que pasa sus días analizando brechas de datos y expedientes regulatorios, veo este patrón con frecuencia. Las organizaciones a menudo ven la privacidad como un obstáculo burocrático en lugar de un derecho humano fundamental. Invierten millones en cámaras acorazadas físicas pero dejan la "puerta trasera" digital abierta con una contraseña compartida escrita en una nota adhesiva.

En mi propio trabajo, trato cada dato como si fuera uranio. Es potente y necesario, pero si no se cuenta con los protocolos adecuados de blindaje y contención, acabará filtrándose y causando daños significativos. Para Unicaja, la filtración no fue un hacker del otro lado del mundo; fue un fallo sistémico al no respetar las huellas digitales de sus propios empleados y clientes.

Cómo auditar su propia "Cámara Digital"

Ya sea que dirija una pequeña empresa o una corporación multinacional, el caso Unicaja ofrece lecciones prácticas para mantenerse en el lado correcto de la ley:

1. Elimine la cuenta genérica: Si su equipo comparte un inicio de sesión para cualquier sistema que contenga datos personales (correo electrónico, CRM, CCTV), desactívelo hoy mismo.
2. Verifique a sus proveedores: No asuma que sus proveedores de software o contratistas de seguridad cumplen con la normativa. Solicite registros de auditoría y pruebas de sus protocolos de seguridad.
3. El principio de privilegio mínimo: Otorgue a las personas solo el nivel mínimo de acceso que necesitan para realizar su trabajo. Si no necesitan descargar datos, elimine el botón "Descargar" de su interfaz.
4. Revise el rastro: Compruebe periódicamente sus registros de acceso. Si ve un inicio de sesión a las 3:00 AM de un empleado que solo trabaja en turnos diurnos, habrá encontrado una señal de alerta antes de que se convierta en una multa.

En última instancia, la privacidad desde el diseño es el cimiento de una casa. Si los cimientos están agrietados —si ni siquiera puede decir con certeza quién está mirando sus datos—, toda la estructura es precaria.

Fuentes

• Reglamento General de Protección de Datos (RGPD), Artículo 5(1)(f) (Integridad y Confidencialidad) y Artículo 32 (Seguridad del Tratamiento).
• Ley Orgánica 3/2018 (LOPDGDD) de Protección de Datos Personales y garantía de los derechos digitales.
• Decisión de la AEPD PS/00392/2023 respecto a Unicaja Banco S.A.

Descargo de responsabilidad
Este artículo se proporciona únicamente con fines informativos y periodísticos. No constituye asesoramiento legal. Para obtener orientación específica sobre el cumplimiento de las normativas de privacidad, consulte con un profesional legal cualificado.