La AEPD ha publicado una resolución en la que aparece como indicador de un uso no diligente de sus claves por parte del cliente su aparición en el sitio web haveibeenpwned.com, que ofrece un servicio gratuito que permite a cualquier usuario comprobar si su dirección de correo electrónico figura en estas listas, y por lo tanto, si sus claves han quedado comprometidas y debe cambiarlas de inmediato.

En la resolución se reproduce la alegación de que el reclamante es un exponente de escasa diligencia en la gestión y custodia de sus credenciales, ya que su historial de claves expuestas en brechas de seguridad se inicia en 2008 y llega hasta 2019, y el éxito de la suplantación de identidad confirma que durante todo este tiempo el reclamante no ha cambiado las claves de acceso reiteradamente comprometidas.

También se indica que los hechos ocurridos en relación con la cuenta del usuario reclamante coinciden plenamente con el patrón de actuación habitual de los ciberdelincuentes que utilizan los datos comercializados en el mercado negro de países de la Europa del Este como Ucrania para suplantar la identidad de sus víctimas y realizar compras fraudulentas. En este caso concreto, vemos que el ciberataque se realiza desde Ucrania y que aprovecha la actuación negligente del reclamante, al utilizar reiteradamente la misma clave en distintos servicios que fueron afectados por una brecha de seguridad que dejó expuestas sus credenciales.