Comunicación conjunta de Deutsche Leasing Ibérica E.F.C., S.A.U., DL Ibérica Equiprent, S.A.U. y otras empresas del grupo en otros países (en lo sucesivo denominadas conjuntamente "Deutsche Leasing") de conformidad con el art. 34.3.c) del Reglamento General de Protección de Datos
Un Ciberataque el 3 de junio de 2023: ¿qué pasó?
Como se publicó anteriormente en la web del Grupo, el 3 de junio de 2023 Deutsche Leasing detectó un ciberataque a parte de sus sistemas informáticos. La empresa reaccionó inmediatamente y, siguiendo el plan de contingencia, cerró el acceso a sus sistemas e involucró o informó a todas las autoridades (de investigación) pertinentes. Junto con expertos forenses de TI (tecnologías de la información) externos y consultores de seguridad de TI, Deutsche Leasing inició los trabajos de análisis del ataque y de obtención de las pruebas correspondientes. Una vez completado el análisis forense de TI, Deutsche Leasing volvió a poner en funcionamiento con éxito sus sistemas, aplicaciones e interfaces de TI con clientes y colaboradores.
Detección de un robo de datos
El análisis forense de TI reveló que, a pesar de que se tomaron medidas inmediatamente, durante el ciberataque se accedió a servidores y datos. Ni los sistemas de TI necesarios para el desempeño de nuestros procesos comerciales ni los datos esenciales de empleados, clientes y colaboradores almacenados en ellos se vieron comprometidos.
Durante este tiempo, los propios sistemas de seguimiento de la empresa han detectado la publicación de documentos de Deutsche Leasing en la Darknet. Esos documentos contienen datos personales, por lo que Deutsche Leasing se lo notificó inmediatamente a las personas físicas afectadas.
Aunque actualmente no hay evidencia de que el ciberataque y la publicación hayan afectado a más datos personales, no podemos descartarlo con certeza. Por este motivo, Deutsche Leasing informa de la situación a todas las personas físicas o jurídicas que puedan verse afectadas mediante este anuncio en su página web corporativa.
¿Quién y qué datos podrían verse afectados?
Los interesados y los datos personales que podrían verse potencialmente afectados pueden incluir empleados o ex empleados de instituciones asociadas de refinanciación, clientes y posibles clientes, garantes, fabricantes, distribuidores, proveedores de servicios, proveedores o titulares reales. Las categorías de datos que potencialmente podrían verse afectadas incluyen datos identificativos (p.ej.: nombre y datos de contacto comercial, así como números de identificación (p.ej.: copia de DNI o pasaporte, identificación fiscal) e información financiera en caso de garantes.
También puede incluir ex empleados, empleados externos o miembros del comité con respecto a sus datos identificativos (p.ej., nombre, dirección, fecha y lugar de nacimiento), currículum vitae, datos bancarios (como número de cuenta), números de identificación (p.ej.: copia del documento de identidad o pasaporte, identificación fiscal), así como datos de comunicación (p. ej., correos electrónicos) o datos personales de los recogidos en el art. 9 RGPD (por ejemplo, datos relacionados con la salud).
¿A qué riesgos potenciales se podría enfrentar como resultado del incidente?
Dada la conducta habitual de estos grupos de piratas informáticos, no se puede descartar que se publiquen más datos personales y que se pierda el control sobre los datos personales en cuestión. En algunos casos, también es posible que los interesados reciban en el futuro más correos electrónicos no deseados o llamadas publicitarias no solicitadas. También puede existir riesgo de un uso delictivo de los datos, por ejemplo, en forma de robo de identidad o similar.
¿Qué medidas ha tomado Deutsche Leasing para mitigar o evitar las consecuencias negativas derivadas del incidente?
Desde el 3 de junio de 2023, Deutsche Leasing está trabajando en estrecha colaboración con expertos en seguridad informática y ha encargado a un proveedor de servicios que examine la Darknet y detecte cualquier divulgación de datos por parte del grupo atacante tan pronto como se produzca. Además, Deutsche Leasing ha informado del incidente a las autoridades pertinentes dentro de los plazos aplicables y del procedimiento para publicar el incidente en su sitio web.
Deutsche Leasing se disculpa por cualquier inconveniente que estos hechos puedan causar a las personas que puedan verse afectadas.
Contacto:
Si tiene alguna cuestión específica en relación al incidente en España, por favor, contacte con el DPO para España, Sr. Fernando Filizzola, en ibdataprivacyrequest@deutsche-leasing.com.
