Estimados/as,

De conformidad con el artículo 34, apartados 1 y 2, del Reglamento General de Protección de Datos del 27 de abril de 2016 (RGPD), les informamos que en diciembre de 2024 se produjo una vulneración de datos personales durante el tratamiento de datos personales por parte de Profitroom S.A., con domicilio en Franklina Roosevelta 9, 60-829 Poznań, que actúa como Responsable del Tratamiento (en adelante, "Nosotros"). Este incidente consistió en el acceso no autorizado a información debido a la violación de la seguridad de la cuenta de Google de uno de nuestros empleados, lo que resultó en la divulgación de datos personales almacenados en dicha cuenta a personas no autorizadas (violación de la confidencialidad).

• Naturaleza de la vulneración

El 5 de diciembre de 2024, una persona o personas no autorizadas (no se puede descartar que fueran varias, accediendo desde una misma dirección IP) ingresaron en la cuenta de Google de nuestro empleado y accedieron a su contenido, incluyendo la bandeja de correo electrónico, las direcciones de correo y datos personales como nombres, apellidos, género, lugar de trabajo, cargo y números de teléfono. El 9 de diciembre de 2024, los delincuentes comenzaron a enviar correos electrónicos con un archivo PDF infectado. Este tipo de correo es conocido como phishing y tiene como objetivo obtener las credenciales de acceso a servicios de Google.

• Posibles consecuencias de la vulneración

Dado que el acceso a la cuenta de Google no solo implica acceso a la bandeja de correo, sino también al calendario y a documentos de trabajo, es nuestro deber informarles que, como consecuencia de esta vulneración, es posible que los atacantes hayan obtenido su dirección de correo electrónico, número de teléfono u otros datos que hayan compartido con nuestro empleado. Esto podría derivar en las siguientes consecuencias negativas:

• Recepción de correos electrónicos no deseados tipo phishing, con enlaces maliciosos o archivos infectados.
• Llamadas telefónicas no deseadas.
• Uso indebido de los datos obtenidos por personas desconocidas para fines delictivos.
• Creación de cuentas en línea utilizando sus datos personales.
• Formalización de contratos fraudulentos en su nombre.
• Suplantación de identidad para obtener más datos personales.
• Fraudes financieros, difusión de datos personales, molestias, estrés, pérdida de acceso a servicios o datos, o robo de identidad.

Estas consecuencias son solo posibles escenarios, no garantizados, y se mencionan en función del tipo de datos personales afectados por la vulneración.

• Medidas adoptadas para mitigar la vulneración

Gracias a nuestros sistemas de seguridad, logramos interrumpir las actividades de los delincuentes que consistían en enviar correos de phishing desde la cuenta de correo electrónico de nuestro empleado. Por este motivo, es posible que no hayan recibido dicho mensaje. Sin embargo, esto no garantiza que los atacantes no intenten contactarlos por otros medios. Les pedimos que mantengan precaución.

En respuesta a esta vulneración, hemos implementado medidas para minimizar o eliminar las posibles consecuencias negativas para ustedes. Entre estas medidas se incluyen la aplicación inmediata de protocolos de seguridad, como escaneos, bloqueos de cuentas y restablecimiento de contraseñas, así como la notificación del incidente a la autoridad supervisora, la Oficina de Protección de Datos Personales de Polonia (UODO).

• Recomendaciones para protegerse de posibles consecuencias negativas

Si utilizan una cuenta de Google, les recomendamos realizar una verificación de seguridad (Security Checkup) de forma regular para detectar inicios de sesión sospechosos o alertas de seguridad de Google. Asimismo, les animamos encarecidamente a activar la autenticación en dos pasos (2FA).

Para mayor protección frente a las posibles consecuencias mencionadas en el punto III, pueden:

• Ser precavidos y verificar con el remitente cualquier enlace o archivo adjunto antes de abrirlo.
• No proporcionar datos de acceso ni datos personales tras hacer clic en enlaces o archivos adjuntos de correos electrónicos.
• Tener cuidado durante llamadas telefónicas.
• Restablecer sus contraseñas.
• Activar la autenticación en dos pasos donde sea posible.
• Ignorar solicitudes de datos personales.
• Crear una cuenta en un sistema de información crediticia (como bik.pl) para proteger sus datos de usos indebidos.
• Informarnos de inmediato si detectan un uso no autorizado de sus datos.

• Contacto para más información

Para obtener más detalles sobre la vulneración o resolver cualquier duda, pueden ponerse en contacto con nuestra Delegada de Protección de Datos, Sra. Beata Marek, a través del correo electrónico: gdpr@profitroom.com.

Atentamente,
La Junta Directiva
Profitroom