¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

Municipio de Epe: por qué un número de identidad y una copia del DNI valen oro para los delincuentes

En marzo de 2026, la red del municipio neerlandés de Epe sufrió un ciberataque. La brecha resultó mucho mayor de lo que se pensó al principio: se habían robado datos personales de casi todos los habitantes — nombre, dirección, sexo, fecha y lugar de nacimiento y el número de identidad nacional (el BSN en los Países Bajos) — y de unos mil habitantes incluso una copia de su documento de identidad. El incidente ilustra con nitidez lo que los programas de concienciación suelen subestimar: no todo dato personal es igual de peligroso. Un número de identidad y una copia del DNI son los ladrillos del robo de identidad.

Qué pasó

El ataque se detectó el 12 de marzo de 2026. En los días siguientes quedó claro que la magnitud era mucho mayor de lo previsto: no un puñado de expedientes, sino los datos de casi todo el padrón de habitantes del municipio.

La parte más sensible afectaba a unas mil copias de documentos de identidad más los números nacionales de casi todos los habitantes. Es un riesgo fundamentalmente distinto al de una dirección de correo filtrada. Un municipio, por su naturaleza, trata los datos de identidad más fundamentales que existen.

Una brecha de este tipo entra dentro del deber de notificación del RGPD: notificar a la autoridad de control (la AEPD) en un plazo de 72 horas e informar a los habitantes afectados. Las administraciones tienen además una función ejemplar — gestionan datos que los ciudadanos están legalmente obligados a entregar y que no pueden 'cambiar' en ningún otro sitio.

Por qué un número de identidad y una copia del DNI son mucho más peligrosos

Una contraseña se puede cambiar. Una dirección de correo se puede reemplazar. Pero tu número de DNI y tu cara en un documento están fijados de por vida. Precisamente por eso son los datos que más buscan los delincuentes: abren la puerta a un robo de identidad que puede repercutir durante años.

Con un número de identidad más una copia del DNI, un delincuente puede hacerse pasar por la víctima: pedir un préstamo, contratar una suscripción, desviar una prestación o presentar solicitudes fraudulentas. La víctima suele darse cuenta solo cuando llegan los cobros o los avisos, y luego debe pasar meses demostrando que no fue ella.

Para la concienciación, esto significa que 'proteger datos personales' es demasiado abstracto. El personal debe aprender a distinguir: ¿qué datos son reemplazables y cuáles irreversibles? Una copia del DNI que 'solo por un momento' acaba en una carpeta compartida o un buzón es un riesgo mucho mayor de lo que se percibe de forma intuitiva.

La perspectiva pública: confianza y ejemplaridad

Con una empresa, en el peor de los casos puedes marcharte como cliente. Con tu ayuntamiento, no. Los habitantes están obligados a entregar sus datos y no tienen alternativa. Eso impone a las organizaciones públicas una responsabilidad especialmente pesada de manejar esos datos con cuidado.

Una brecha en el sector público afecta, por tanto, no solo a las personas implicadas, sino también a la confianza en las propias instituciones. Esa confianza es difícil de construir y rápida de perder. La concienciación en el sector público no trata solo de tecnología, sino de la conciencia de que trabajas con datos que las personas tuvieron que confiarte por obligación.

Al mismo tiempo, la administración pública es el sector más atacado de Europa. Según el panorama de amenazas de ENISA, la administración pública representa una gran parte de todos los incidentes registrados. Los municipios son objetivos atractivos justamente porque concentran tantos datos valiosos en un solo lugar.

Cultura del reporte: la diferencia entre un incidente y un desastre

La magnitud de la brecha de Epe solo se aclaró con el tiempo. Es lo típico: en un ataque rara vez sabes de inmediato hasta dónde llega. Por eso la velocidad del reporte es crucial — cuanto antes llegue una señal a las personas adecuadas, antes podrás limitar el daño.

El mayor enemigo de una buena respuesta es la vergüenza o el miedo. Un empleado que hizo clic en un enlace erróneo, envió un archivo a la dirección equivocada o vio un mensaje sospechoso debe poder reportarlo sin ninguna barrera. Una cultura de culpa lleva a ocultar los incidentes hasta que es demasiado tarde.

Para el sector público, con su deber de notificación en 72 horas, una cadena de reporte interna ágil no es un lujo sino una necesidad legal. La persona que nota algo primero es tu sensor más importante.

Cómo integrarlo en tu programa de concienciación

Usa el caso de Epe para hacer concreto el concepto abstracto de 'datos personales'. Deja que el personal nombre por sí mismo qué datos de su trabajo son irreversibles — eso cala mucho mejor que una lista.

Combínalo con una cultura del reporte sin barreras. En el sector público son las dos palancas que más rinden.

Público + ritmo: da a los equipos que manejan números y copias de identidad (atención ciudadana, servicios sociales, RR. HH.) un módulo específico sobre el manejo de datos irreversibles.
Haz que reportar sea sin barreras y sin culpa: una vía de reporte conocida, sin sanciones por reportar con honestidad, reconocimiento visible para quien reporta.
Practica la cadena de 72 horas: de 'un empleado nota algo' a 'notificación a la AEPD' — ¿conoce cada uno su papel?
Mide la velocidad de reporte como KPI, no solo el clic: ¿cuánto tarda una señal en llegar a la persona adecuada?
¿Quieres profundizar? Mira cómo anclarlo mediante la formación en concienciación sobre seguridad.

Preguntas frecuentes

¿Por qué un número de identidad es más peligroso que, por ejemplo, una dirección de correo?

Una dirección de correo o una contraseña se pueden cambiar; tu número de identidad está fijado de por vida. Combinado con una copia del documento de identidad, permite el robo de identidad: los delincuentes pueden hacerse pasar por la víctima para gestionar préstamos, suscripciones o prestaciones a su nombre. El daño puede repercutir durante años.

¿Qué hace del sector público un objetivo atractivo?

Los municipios gestionan los datos de identidad más fundamentales de los ciudadanos — números, direcciones, copias de DNI — a menudo en un solo lugar. Los habitantes están obligados a entregarlos y no pueden 'marcharse'. Eso hace los datos muy valiosos y la responsabilidad muy grande. La administración pública es el sector más atacado de Europa.

¿Por qué la cultura del reporte es tan decisiva en una brecha?

La verdadera magnitud de un ataque suele aflorar solo con el tiempo, como en Epe. Cuanto antes llegue una señal a las personas adecuadas, más daño se puede limitar. Una cultura de culpa lleva a ocultar; una cultura del reporte sin barreras convierte a cada empleado en un sensor temprano — y para el sector público, con su deber de 72 horas, es una necesidad legal.

¿Qué debe hacer un empleado que detecta una posible brecha?

Reportar de inmediato por la vía interna conocida, incluso ante la duda y aunque el error fuera suyo. La velocidad importa más que la certeza: mejor diez reportes innecesarios que una brecha real detectada demasiado tarde. Reportar con honestidad nunca debe acarrear sanciones.