| Resolución | PS-00528-2025 |
| Firmado | 2026-02-17T00:00:00Z |
| Enlace | 📋 |
El procedimiento sancionador se inició debido a una brecha de seguridad en la empresa MEDIOS DE PREVENCIÓN EXTERNOS SUR, S.L. (MPE_SUR) que afectó a la confidencialidad y disponibilidad de datos personales. La brecha fue causada por un ciberataque de tipo ransomware que permitió el acceso no autorizado a datos sensibles, incluyendo información de salud, identificativa y de contacto de aproximadamente 1.000 personas.
La empresa fue denunciada por no haber implementado medidas de seguridad adecuadas para proteger los datos personales. Entre las deficiencias identificadas se encuentran la ausencia de autenticación multifactor en la VPN, insuficiente protección de las cuentas de correo corporativo, falta de registros y auditoría del tráfico de red, e inadecuada protección de privilegios elevados. Estas vulnerabilidades permitieron que los atacantes accedieran y exfiltraran datos personales.
La sanción propuesta inicialmente fue de 60.000 euros, pero se redujo a 36.000 euros debido al reconocimiento de responsabilidad y el pago voluntario por parte de MPE_SUR. Además de la sanción económica, se ordenó a la empresa adoptar medidas correctivas para evitar futuras brechas de seguridad, como la implementación de medidas técnicas y organizativas adecuadas. La empresa tuvo un plazo de tres meses para notificar la adopción de estas medidas.