La filtración de más de 10 mil millones de contraseñas, expuesta en foros de la dark web a finales de junio, desató la alarma mundial sobre los riesgos de ciberseguridad y la urgente necesidad de cumplir con la Ley General de Protección de Datos (LGPD). El archivo, denominado «RockYou2024.txt», publicado por un hacker conocido como «ObamaCare», contiene datos de plataformas como Apple, Google y Facebook, incluyendo combinaciones de correo electrónico y contraseñas inéditas.
El impacto se considera uno de los mayores de la historia en términos de volumen y alcance. El episodio exige una respuesta inmediata por parte de las empresas y los profesionales de las tecnologías de la información, especialmente considerando los requisitos legales vigentes desde 2020. Para Edgard Dolata, abogado especializado en LGPD y socio de Legal Comply y Dopp Dolata Advogados, el caso expone la vulnerabilidad de las estructuras digitales. «La fragilidad de los sistemas de seguridad digital expone no solo al consumidor, sino también la reputación y la responsabilidad legal de las empresas. Contar con una política de privacidad en el sitio web no es suficiente. Es necesario demostrar una gobernanza activa en la protección de estos datos», afirma Dolata.
El experto enfatiza que muchas organizaciones aún tratan el asunto como burocrático y descuidan la creación de procesos internos eficientes. Según él, la exposición a gran escala de credenciales aumenta los riesgos de ingeniería social, estafas de phishing, intrusiones corporativas y sanciones por parte de la Autoridad Nacional de Protección de Datos (ANPD). «La protección de datos debe dejar de ser un enfoque reactivo. La LGPD exige registro, trazabilidad y una respuesta rápida en caso de incidentes. Y esto aplica tanto a grandes plataformas como a pequeñas empresas, que a menudo operan con estructuras vulnerables», afirma.
Julio, un período en el que suele aumentar el acceso remoto debido a las vacaciones escolares y el trabajo híbrido, también registra un aumento en la incidencia de ataques silenciosos. Dolata aconseja a las empresas adoptar medidas como la autenticación multifactor, las copias de seguridad periódicas y la revisión continua del acceso. «Las vacaciones de invierno, además de reducir la vigilancia digital, suelen paralizar a los equipos de respuesta a incidentes. Esto crea el escenario ideal para los ciberataques. La planificación de seguridad debe considerar este comportamiento estacional», advierte.
Para el abogado, la recurrencia de megafiltraciones y la falta de sanciones ejemplares alimentan aún más la impunidad digital. «Mientras Brasil carezca de una sólida cultura de rendición de cuentas y prevención, seguiremos reaccionando demasiado tarde. El cumplimiento de la LGPD no es solo una protección legal; es una necesidad operativa», concluye.
Las empresas que buscan evaluar su exposición o iniciar un plan de cumplimiento pueden buscar diagnósticos legales especializados y herramientas de análisis de riesgos en plataformas como Legal Comply, que monitorea las vulnerabilidades y guía los planes de respuesta basados en LGPD.
