Volver

Brechas de seguridad

Una brecha de seguridad ocurre cuando tus datos personales quedan expuestos por un fallo o ataque. Las empresas deben proteger tus datos y notificarte si una brecha te afecta. Conoce tus derechos y cómo actuar.

Qué es una brecha de seguridad

Una brecha de seguridad es, según el RGPD (artículo 4.12), cualquier "violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos". En lenguaje llano: alguien que no debía ver tus datos los ha visto, o los datos se han perdido, o han sido modificados sin autorización.

Tipos de brechas

Las brechas se clasifican según qué aspecto de la seguridad se vulnera. Las brechas de confidencialidad ocurren cuando alguien accede a datos que no debía ver: un hackeo, una filtración, un robo de bases de datos. Las brechas de integridad ocurren cuando los datos son alterados sin autorización: modificaciones maliciosas, corrupción de información. Las brechas de disponibilidad ocurren cuando se pierde acceso a los datos: destrucción de información, bloqueo por ransomware.

Ejemplos comunes

Las brechas de seguridad son más frecuentes de lo que parece. Algunos ejemplos típicos: un hackeo a una empresa que tenía tus datos, un email con información confidencial enviado por error a destinatarios incorrectos, la pérdida o robo de un portátil con datos de clientes, un ataque de ransomware que cifra bases de datos, un empleado desleal que copia información para llevársela a la competencia, o un simple fallo técnico que deja expuesta información que debía estar protegida.

🚨 Tu email ya está filtrado (probablemente)

Si usas internet desde hace más de 5 años, es casi seguro que tu email y alguna contraseña han aparecido en alguna brecha. LinkedIn, Adobe, Dropbox, Yahoo... los gigantes también caen. Entra ahora en haveibeenpwned.com y compruébalo. Si apareces (y aparecerás), cambia esas contraseñas hoy. Si usabas la misma contraseña en varios sitios, cambia todas. No mañana. Hoy.

Tus derechos

Cuando una brecha de seguridad afecta a tus datos personales, tienes derechos específicos que la empresa responsable debe respetar.

Derecho a ser informado

Si la brecha supone un riesgo alto para tus derechos y libertades, la empresa tiene obligación de notificarte directamente. No pueden escondértelo ni esperar a ver si pasa algo. La notificación debe hacerse sin demora indebida, en un lenguaje claro y sencillo que cualquiera pueda entender, e incluyendo información práctica sobre qué puedes hacer para protegerte.

Información que deben darte

La notificación que recibas debe contener información suficiente para que entiendas lo que ha pasado y puedas actuar. Deben explicarte la naturaleza de la brecha (qué ha ocurrido), qué datos tuyos se han visto afectados, las consecuencias probables para ti, las medidas que han adoptado para mitigar el daño, recomendaciones específicas de lo que puedes hacer para protegerte, y los datos de contacto del DPO o responsable por si necesitas más información.

Derecho a indemnización

Si sufres daños como consecuencia de una brecha de seguridad, tienes derecho a reclamar una indemnización a la empresa responsable. Esto incluye tanto los daños materiales (si te han estafado usando tus datos filtrados, por ejemplo) como los daños morales (la angustia y preocupación que te causa la exposición de tus datos). La vía para reclamar indemnización es judicial, ya que la AEPD puede sancionar a la empresa pero no indemnizarte directamente a ti.

Obligaciones de las empresas

Las empresas que tratan datos personales tienen obligaciones claras tanto para prevenir brechas como para gestionarlas cuando ocurren.

Medidas de seguridad previas

Antes de que ocurra ninguna brecha, las empresas deben tener implementadas medidas de seguridad adecuadas al riesgo. Esto incluye el cifrado de datos tanto almacenados como en tránsito, controles de acceso para que solo quien necesite los datos pueda acceder a ellos, copias de seguridad para poder recuperar información en caso de pérdida, formación del personal para que los empleados sepan manejar datos de forma segura, auditorías de seguridad periódicas para detectar vulnerabilidades, y planes de respuesta a incidentes para saber cómo actuar si ocurre una brecha.

Notificación a la AEPD

Cuando una empresa sufre una brecha de seguridad, debe notificarla a la AEPD en un plazo máximo de 72 horas desde que tiene conocimiento de ella. La única excepción es cuando la brecha no supone ningún riesgo para los derechos de las personas afectadas. La notificación debe incluir una descripción de lo ocurrido, las categorías y número aproximado de personas afectadas, las consecuencias probables, y las medidas adoptadas o propuestas para mitigar los daños.

Notificación a los afectados

Si la brecha supone un alto riesgo para tus derechos y libertades, la empresa tiene obligación de notificarte directamente, además de a la AEPD. Esta notificación debe hacerse sin demora, de forma directa e individual (no vale un comunicado genérico en la web), con información clara sobre lo que ha pasado, y con recomendaciones prácticas de protección.

Excepciones a notificar a afectados

Hay algunos casos en que la empresa no está obligada a notificarte personalmente. Si los datos estaban cifrados con cifrado fuerte y el atacante no ha podido acceder a ellos, el riesgo real es bajo. Si la empresa ha tomado medidas posteriores que eliminan el riesgo antes de que pudiera materializarse ningún daño, también puede evitarse la notificación individual. Y si el número de afectados es tan grande que la notificación individual supone un esfuerzo desproporcionado, puede sustituirse por una comunicación pública.

Cómo saber si te afecta una brecha

No siempre es evidente que una brecha te haya afectado. Hay varias formas de enterarte, desde la notificación directa de la empresa hasta herramientas que puedes usar tú mismo.

Notificación directa

La forma ideal es que la empresa te notifique directamente. Esto puede llegar por email de la empresa afectada explicando lo ocurrido, por carta postal en casos más formales, por SMS o llamada en situaciones urgentes, o mediante un aviso en tu área de cliente cuando accedas a su web o app.

Si recibes una notificación de este tipo, léela con atención y sigue las recomendaciones que te den.

Noticias públicas

A veces te enteras de una brecha por los medios de comunicación antes de que la empresa te notifique. Las brechas importantes suelen aparecer en la prensa general y especializada, en redes sociales (donde a veces son los propios usuarios afectados quienes dan la voz de alarma), y en webs especializadas en ciberseguridad que monitorizan este tipo de incidentes.

Herramientas para verificar

Existen herramientas gratuitas que te permiten comprobar si tu email o contraseña han aparecido en brechas conocidas.

Have I Been Pwned (haveibeenpwned.com) es la más conocida. Introduces tu email y te dice si aparece en alguna de las miles de brechas que tienen catalogadas. Es gratuito y fiable, mantenido por el experto en seguridad Troy Hunt.

Firefox Monitor (monitor.firefox.com) ofrece un servicio similar y puede configurarse para enviarte alertas automáticas si tu email aparece en una nueva brecha.

Para verificar datos más allá del email (como DNI, teléfono o contraseñas específicas), hay herramientas más avanzadas como DeHashed o Intelligence X, aunque algunas requieren suscripción para funcionalidades completas.

Qué hacer si te afecta

Si te enteras de que una brecha de seguridad ha afectado a tus datos, actúa con rapidez. Cuanto antes tomes medidas, menos posibilidades hay de que sufras daños.

Acciones inmediatas

Lo primero es cambiar contraseñas. Cambia la contraseña del servicio afectado inmediatamente, y también la de cualquier otro servicio donde uses la misma contraseña (lo que, por cierto, es mala práctica y deberías dejar de hacer). Crea contraseñas únicas y fuertes para cada servicio.

A continuación, activa el doble factor de autenticación (2FA) en todos los servicios importantes: email, banco, redes sociales. Usa preferiblemente una app de autenticación (Google Authenticator, Authy) en lugar de SMS, porque los SMS son menos seguros.

Revisa si hay actividad sospechosa en tus cuentas. Comprueba movimientos bancarios que no reconozcas, accesos a tus cuentas desde ubicaciones o dispositivos extraños, y emails enviados desde tu cuenta sin tu conocimiento.

Si la brecha incluía datos financieros, contacta con tu banco inmediatamente. Solicita nuevas tarjetas si las antiguas estaban expuestas, pide que activen alertas de operaciones para que te avisen de cualquier movimiento, y vigila los extractos durante las siguientes semanas.

Según el tipo de datos filtrados

Las acciones a tomar dependen del tipo de datos que se hayan filtrado.

Si se ha filtrado tu email y contraseña, cambia esa contraseña inmediatamente y activa 2FA. Si reutilizabas esa contraseña en otros servicios, cámbiala también en todos ellos.

Si se ha filtrado tu DNI o datos de identidad, estate alerta ante posibles intentos de suplantación de identidad. Vigila si alguien intenta abrir cuentas a tu nombre (puedes consultarlo en CIRBE para cuentas bancarias). Considera contratar un servicio de monitorización de identidad.

Si se han filtrado datos bancarios (número de cuenta, tarjeta), contacta con tu banco, valora bloquear tarjetas y solicitar nuevas, y vigila tus movimientos con especial atención durante las siguientes semanas.

Si se han filtrado datos de salud, la gravedad es mayor porque son datos especialmente protegidos. Reclama a la empresa responsable y estate atento a cualquier uso indebido de esa información.

Cómo reclamar

Si una brecha de seguridad te afecta, tienes derecho a reclamar tanto a la empresa como a la AEPD.

A la empresa responsable

Tu primer paso puede ser reclamar directamente a la empresa. Puedes solicitar información detallada sobre qué datos tuyos se vieron afectados exactamente, cómo ocurrió la brecha, qué medidas de seguridad fallaron, y qué han hecho para evitar que vuelva a pasar.

También puedes exigir que tomen medidas adicionales de protección, que te notifiquen correctamente si no lo han hecho, y que te compensen si has sufrido daños como consecuencia de su negligencia.

Modelo de reclamación

Asunto: Solicitud de información sobre brecha de seguridad

A la atención del DPO de [EMPRESA].

He tenido conocimiento de que [EMPRESA] ha sufrido una brecha
de seguridad que podría afectar a mis datos personales.

Como usuario/cliente, SOLICITO:

1. Confirmación de si mis datos personales se han visto afectados
2. Detalle de qué datos concretos (email, contraseña, DNI, etc.)
3. Fecha y circunstancias de la brecha
4. Medidas adoptadas para mitigar el daño
5. Recomendaciones específicas para mi protección

Mis datos en su sistema:
- Email: [EMAIL]
- [Otros identificadores que tengan]

Espero respuesta en el plazo máximo de [10-15 días].

Fecha y firma

A la AEPD

Si la empresa no te notificó debiendo hacerlo, si la información que te dieron fue insuficiente, si no tomaron las medidas de seguridad adecuadas, o simplemente quieres que la autoridad investigue la brecha, puedes reclamar ante la AEPD.

El proceso es gratuito y sencillo. Accede a la sede electrónica de la AEPD (sedeagpd.gob.es), presenta una reclamación por brecha de seguridad, adjunta la comunicación que recibiste de la empresa (si la hay) o prueba de que no te notificaron, y describe tu situación y qué perjuicios te ha causado.

Vía judicial

Para reclamar una indemnización por los daños sufridos, necesitas acudir a los tribunales. La AEPD puede sancionar a la empresa pero no puede indemnizarte a ti directamente.

Puedes reclamar daño moral por la angustia y preocupación que te causa saber que tus datos han sido expuestos. Si además has sufrido daños económicos concretos (te han estafado usando tus datos filtrados, por ejemplo), puedes reclamarlos también. La vía es una demanda civil contra la empresa responsable de la brecha.

Prevención personal

Aunque no puedes evitar que una empresa sufra una brecha, sí puedes minimizar el impacto que tendría en ti si ocurre.

Buenas prácticas

La práctica más importante es usar contraseñas únicas para cada servicio. Si una brecha expone tu contraseña de un sitio, solo afecta a ese sitio. Para gestionar tantas contraseñas diferentes, usa un gestor de contraseñas como Bitwarden (gratuito) o 1Password. Activa el doble factor de autenticación (2FA) en todo lo importante: aunque filtren tu contraseña, no podrán acceder sin el segundo factor. Revisa periódicamente los permisos que has dado a apps y servicios, y revoca los que ya no necesites. Minimiza los datos que compartes: no des más información de la necesaria cuando te registres en un servicio. Y mantén actualizado tu software y dispositivos para estar protegido contra vulnerabilidades conocidas.

Monitorización

Adopta hábitos de monitorización proactiva. Suscríbete a alertas de Have I Been Pwned para que te avisen si tu email aparece en una nueva brecha. Revisa tus extractos bancarios regularmente para detectar movimientos extraños. Activa las notificaciones de acceso en los servicios importantes para saber si alguien entra en tu cuenta. Y comprueba tu informe de crédito periódicamente (puedes hacerlo en CIRBE del Banco de España) para ver si alguien está usando tu identidad para abrir cuentas.

Si reutilizas contraseñas

Reutilizar la misma contraseña en varios servicios es el mayor riesgo que puedes correr. Una sola brecha que exponga esa contraseña compromete todas tus cuentas que la usen. Si actualmente reutilizas contraseñas, cámbialas cuanto antes por contraseñas únicas. No necesitas memorizarlas todas: usa un gestor de contraseñas que las recuerde por ti.

🧠 Hack del gestor: Bitwarden es gratis y te salva la vida

"No puedo recordar 100 contraseñas diferentes". Claro que no. Por eso existe Bitwarden: un gestor de contraseñas gratuito que genera contraseñas imposibles de adivinar, las guarda cifradas, y las rellena automáticamente. Solo tienes que recordar una contraseña maestra. Si mañana filtran tu contraseña de Amazon, solo afecta a Amazon. Instálalo hoy, cambia tus contraseñas importantes, y duerme tranquilo. En serio, hazlo ya.

Sanciones a empresas

Las empresas que no protegen adecuadamente los datos o que no gestionan correctamente las brechas se enfrentan a sanciones significativas.

Por la AEPD

La AEPD puede sancionar a las empresas por falta de medidas de seguridad adecuadas que hayan facilitado la brecha, por no notificar la brecha a la autoridad o a los afectados cuando era obligatorio, o por notificación tardía o deficiente que no cumplía los requisitos legales.

Las cuantías máximas son las del RGPD: hasta 20 millones de euros o el 4% de la facturación global de la empresa, lo que sea mayor. En la práctica, las sanciones varían según la gravedad, el número de afectados, si hubo negligencia o intencionalidad, y cómo reaccionó la empresa tras la brecha.

Ejemplos de sanciones en España

Hay casos conocidos de sanciones importantes por brechas de seguridad. British Airways recibió una sanción millonaria (aunque reducida respecto a la propuesta inicial) por una brecha que afectó a cientos de miles de clientes. Marriott fue sancionada por la exposición de datos de millones de huéspedes de Starwood. En España, empresas de aerolíneas, telecomunicaciones y banca han sido sancionadas por brechas de seguridad y mala gestión de las mismas.

💡 Las multas ya no son simbólicas. En 2025, la AEPD impuso 5 millones de euros a Generali por una brecha que expuso datos de 1,6 millones de personas: direcciones, teléfonos, estado civil, cuentas bancarias. A Caja Rural le cayeron casi 1,5 millones. A Orange, 1,2 millones. Las empresas empiezan a tomarse en serio la protección de datos cuando les duele en la cuenta de resultados. Y si tus datos se filtran porque una empresa no hizo su trabajo, tienes derecho a reclamar.

Casos especiales

Algunas situaciones merecen una atención particular por la naturaleza de los datos o las circunstancias de la brecha.

Ransomware

El ransomware es un tipo de ataque donde los delincuentes cifran los datos de una empresa y exigen un rescate para descifrarlos. Si una empresa con tus datos sufre ransomware, la situación es especialmente delicada. Tus datos pueden haber quedado inaccesibles (cifrados), pero también es posible que los atacantes los robaran antes de cifrarlos. Muchos grupos de ransomware ahora hacen ambas cosas: roban y luego cifran. Pregunta a la empresa si pagaron el rescate, porque aunque paguen no hay garantía de que los delincuentes no vendan igualmente los datos en el mercado negro.

Datos de menores

Cuando una brecha afecta a datos de menores de edad, la gravedad es mayor. Los menores tienen una protección reforzada en la normativa de protección de datos. La empresa debe notificar a los tutores legales, no solo al menor. Las sanciones por brechas que afectan a menores suelen ser más elevadas.

Datos de salud

Los datos de salud son una categoría especial con protección reforzada. Una brecha que exponga información médica, diagnósticos, historiales clínicos o tratamientos tiene un impacto potencialmente mayor en la vida de los afectados (discriminación laboral, aseguradoras, estigma social). Las sanciones a las empresas responsables suelen ser proporcionalmente mayores.

Datos financieros

Cuando la brecha incluye datos financieros (números de cuenta, tarjetas, información bancaria), el riesgo de fraude es muy alto. Los delincuentes pueden usar esos datos para hacer compras, transferencias o suplantar tu identidad financiera. Monitoriza tus cuentas con especial atención y contacta con tus entidades bancarias para que estén alertas ante movimientos sospechosos.

Qué esperar de una notificación correcta

Si una brecha te afecta, mereces una notificación clara y útil. Saber distinguir una buena notificación de una deficiente te ayudará a saber si la empresa está cumpliendo sus obligaciones.

Contenido mínimo

Una notificación correcta debe incluir una descripción clara de lo ocurrido (qué tipo de incidente, cuándo se detectó), qué datos tuyos están afectados de forma específica (email, contraseña, DNI, etc.), los riesgos potenciales que puedes correr como consecuencia, qué están haciendo ellos para solucionar el problema y evitar que se repita, qué puedes hacer tú para protegerte (recomendaciones concretas), y un contacto para más información (normalmente el DPO).

Ejemplo de buena notificación

Una notificación bien hecha sería algo así: "Estimado usuario, lamentamos informarle de que el [fecha] detectamos un acceso no autorizado a nuestros sistemas que afectó a datos de usuarios. En su caso, se vieron afectados: nombre, email y contraseña cifrada. Hemos tomado las siguientes medidas: [lista de medidas]. Le recomendamos: cambiar su contraseña en nuestro servicio y en cualquier otro donde use la misma, activar la verificación en dos pasos, y vigilar sus cuentas por si detecta actividad sospechosa. Para más información o dudas, contacte con nuestro DPO en [email]. Disculpe las molestias."

Señales de notificación deficiente

Desconfía si la notificación es vaga o sin detalles ("hemos sufrido un incidente de seguridad" sin más), si no dice qué datos tuyos están afectados, si no da recomendaciones de qué puedes hacer para protegerte, si llega muy tarde respecto a cuando ocurrió la brecha, o si directamente te enteras por la prensa antes de que te notifiquen. Todos estos son indicadores de que la empresa no está gestionando bien la situación.

Conclusión

Las brechas de seguridad son cada vez más frecuentes. Incluso empresas grandes con recursos son víctimas de ataques o cometen errores que exponen datos de sus usuarios. Lo que puedes hacer es estar preparado.

Conoce tus derechos: si una brecha te afecta, tienes derecho a ser informado con detalle suficiente para que puedas protegerte. Actúa rápido cuando te enteres de una brecha: cambia contraseñas, activa el doble factor, revisa tus cuentas. Monitoriza tus datos con herramientas como Have I Been Pwned. Reclama si la empresa no cumple sus obligaciones de notificación o seguridad. Y sobre todo, practica la prevención: usa contraseñas únicas, activa 2FA, minimiza los datos que compartes.

Tus datos son tu responsabilidad protegerlos, pero las empresas que los tratan tienen obligaciones legales claras. Si no las cumplen, puedes reclamar ante la AEPD y, si has sufrido daños, ante los tribunales.

Claimeet recomienda

Entra ahora mismo en haveibeenpwned.com y comprueba si tu email ha aparecido en alguna brecha. Si aparece, cambia la contraseña de ese servicio hoy mismo, y activa el doble factor (2FA) en tu email, banco y redes sociales. Son 15 minutos que pueden ahorrarte meses de problemas.

Eduardo Lázaro

Sobre el autor

Eduardo Lázaro

Ingeniero de software y entusiasta del análisis de procesos legales y de consumo. Con una trayectoria vinculada a la arquitectura de información desde 2003, Eduardo aplica la lógica para desglosar normativas complejas en guías accesibles. Ha colaborado con varias organizaciones en la defensa de los derechos de los usuarios y la transparencia digital.

Ver perfil | edulazaro.com
Anterior
Lista Robinson
Siguiente
Denunciar ante AEPD

Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar el uso de la web, personalizar contenido y mostrarte publicidad relevante. Puedes aceptar todas las cookies o configurar tus preferencias. Más información

Preferencias de Cookies

Cookies Esenciales

Siempre activas

Necesarias para el funcionamiento básico del sitio. Incluyen cookies de sesión, autenticación y seguridad. No se pueden desactivar.

Cookies de Análisis

Nos ayudan a entender cómo interactúas con la web, qué páginas visitas y detectar posibles problemas técnicos. Usamos esta información para mejorar nuestros servicios.

Cookies de Marketing

Permiten mostrarte anuncios relevantes basados en tus intereses. También se utilizan para limitar el número de veces que ves un anuncio y medir la efectividad de las campañas.

Cookies Funcionales

Permiten funcionalidades mejoradas como recordar tus preferencias, idioma o región. Sin estas cookies, algunos servicios pueden no funcionar correctamente.

Ver Política de Cookies completa