· Jonathan Izquierdo · Noticias seguridad  ·

13 min de lectura

AEPD abre expediente a Ayesa tras filtración masiva de Black Basta: 4,5 TB en la dark web

La AEPD sanciona a Ayesa por no informar adecuadamente a empleados afectados por el ciberataque de Black Basta. 4,5 TB de datos corporativos filtrados en la dark web.

La AEPD sanciona a Ayesa por no informar adecuadamente a empleados afectados por el ciberataque de Black Basta. 4,5 TB de datos corporativos filtrados en la dark web.

4,5 terabytes. Es el volumen de datos corporativos que el grupo de ransomware Black Basta robó a la tecnológica sevillana Ayesa y publicó en la dark web. El 18 de febrero de 2026, la Agencia Española de Protección de Datos (AEPD) abrió expediente sancionador contra Ayesa (expediente EXP202409350) por no haber comunicado adecuadamente la brecha de seguridad a los trabajadores afectados, una obligación que el artículo 34 del RGPD impone sin excepciones (Andalucía Información, 20 Feb 2026).

Como perito informático forense, este caso me parece especialmente relevante porque ilustra un patrón que veo con frecuencia en mis investigaciones: empresas que, tras sufrir un ciberataque de ransomware, minimizan el alcance real de la filtración ante sus propios empleados. Ayesa comunicó que solo 35 trabajadores estaban afectados. La realidad, según la denuncia del sindicato ASC, era que los datos comprometidos alcanzaban a un número mucho mayor de personas y contenían información extremadamente sensible: DNI, pasaportes, datos personales de empleados, proyectos internacionales, actas societarias y escrituras (forLOPD, Feb 2026).

TL;DR - Resumen ejecutivo

En 60 segundos:

  • Empresa sancionada: Ayesa (tecnológica sevillana, +4.000 empleados)
  • Expediente AEPD: EXP202409350, abierto el 18 de febrero de 2026
  • Grupo atacante: Black Basta (ransomware-as-a-service)
  • Datos filtrados: 4,5 TB publicados en dark web (DNI, pasaportes, proyectos, actas societarias)
  • Infracción: Artículo 34 RGPD (comunicación insuficiente de brecha a los afectados)
  • Denuncia: Sindicato ASC (Ayesa solo reconoció 35 afectados)
  • Plazo resolución: Máximo 12 meses desde apertura
  • Sanción potencial: Hasta 20 millones de euros o el 4% de la facturación global anual

Consulta pericial gratuita →

Cronología del caso Ayesa - Black Basta

  1. Abril 2024 - Ciberataque de Black Basta: el grupo de ransomware Black Basta compromete los sistemas de Ayesa. Los atacantes ejecutan la exfiltración masiva de 4,5 terabytes de datos corporativos antes de cifrar los servidores, siguiendo el modelo de doble extorsión habitual en este tipo de operaciones.

  2. Abril-mayo 2024 - Publicación en la dark web: tras la presunta negativa de Ayesa a pagar el rescate, Black Basta publica los 4,5 TB de datos robados en su sitio de filtraciones en la dark web. Los datos quedan accesibles para cualquier actor malicioso.

  3. 2024 - Ayesa comunica la brecha: Ayesa notifica internamente que el ataque afectó a 35 trabajadores. No se conoce una comunicación más amplia a la totalidad de empleados cuyos datos personales fueron filtrados.

  4. 2024-2025 - Denuncia del sindicato ASC: el sindicato Alternativa Sindical de la Clase Trabajadora (ASC) interpone denuncia ante la AEPD alegando que Ayesa no informó adecuadamente a todos los trabajadores afectados, incumpliendo el artículo 34 del RGPD. La denuncia señala que los datos filtrados incluían DNI, pasaportes y documentación sensible de un número de empleados muy superior a los 35 reconocidos por la empresa.

  5. 18 de febrero de 2026 - La AEPD abre expediente sancionador: la AEPD admite la denuncia y abre el expediente EXP202409350 contra Ayesa. El procedimiento sancionador tiene una duración máxima de 12 meses (Viva Sevilla, 20 Feb 2026).

Qué datos fueron filtrados

Los 4,5 terabytes publicados por Black Basta contenían documentación corporativa y datos personales de diversa naturaleza. Según las fuentes consultadas, la filtración incluía las siguientes categorías de datos:

Categoría de datosTipo de informaciónRiesgo para los afectados
Documentos de identidadDNI, pasaportes de empleadosSuplantación de identidad, fraude bancario, apertura de cuentas fraudulentas
Datos personales sensiblesInformación personal de trabajadores (nóminas, contratos, datos médicos potenciales)Discriminación, chantaje, ingeniería social dirigida
Proyectos internacionalesDocumentación técnica de proyectos en ejecuciónEspionaje industrial, pérdida de ventaja competitiva, riesgos para clientes
Actas societariasActas de reuniones de órganos de gobierno corporativoInformación estratégica expuesta, riesgo reputacional
EscriturasDocumentos notariales y registrales de la sociedadVulneración de información corporativa confidencial

El volumen es especialmente preocupante. Para poner en contexto los 4,5 TB filtrados: equivalen aproximadamente a 4.500 millones de páginas de documentos de texto, o a más de 2 millones de documentos PDF estándar. Es una de las mayores filtraciones de datos corporativos sufrida por una empresa española a manos de un grupo de ransomware.

El artículo 34 del RGPD: la obligación que Ayesa habría incumplido

El expediente de la AEPD se centra en una posible infracción del artículo 34 del RGPD, que regula la comunicación de brechas de datos personales a los interesados. Este artículo establece obligaciones claras para cualquier responsable de tratamiento que sufra una violación de seguridad.

Art. 34 RGPD: qué exige exactamente

El artículo 34.1 del RGPD establece que “cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.

La comunicación debe describir:

  • La naturaleza de la violación de datos
  • El nombre y datos de contacto del DPO o punto de contacto
  • Las consecuencias probables de la violación
  • Las medidas adoptadas o propuestas para poner remedio

No basta con notificar a la AEPD (art. 33). Hay que informar también a cada persona afectada cuando el riesgo sea alto.

Qué hizo Ayesa y por qué no fue suficiente

Según la denuncia del sindicato ASC, Ayesa comunicó que solo 35 trabajadores estaban afectados por el ciberataque. Sin embargo, la publicación de 4,5 TB de datos en la dark web sugiere que el número real de personas cuyos datos personales fueron comprometidos era significativamente mayor.

El problema no es solo cuantitativo. La naturaleza de los datos filtrados —DNI y pasaportes— implica un riesgo alto para los derechos y libertades de los afectados: suplantación de identidad, fraude bancario, apertura de cuentas en nombre de terceros. Cuando los datos expuestos incluyen documentos de identidad, el artículo 34 del RGPD no deja margen de interpretación: la comunicación a los interesados es obligatoria.

La AEPD puede imponer sanciones de hasta 20 millones de euros o el 4% de la facturación global anual por infracciones del artículo 34 del RGPD, según el artículo 83.5.e) del reglamento (RGPD, Art. 83.5.e).

Qué es Black Basta y por qué es relevante para empresas españolas

Black Basta: ficha del grupo de ransomware
  • Tipo: Ransomware-as-a-Service (RaaS)
  • Activo desde: Abril 2022
  • Modelo: Doble extorsión (cifrado + publicación de datos robados)
  • Víctimas estimadas: Más de 500 organizaciones globalmente (CISA, Mayo 2024)
  • Sectores atacados: Tecnología, infraestructuras críticas, sanidad, manufactura
  • Técnicas de entrada: Phishing, explotación de vulnerabilidades, compra de credenciales en foros underground
  • Infraestructura: Servidor de filtraciones en red Tor para publicar datos de víctimas que no pagan
  • Vinculación: Analistas de ciberseguridad vinculan a miembros de Black Basta con el extinto grupo Conti (CISA Advisory AA24-131A, Mayo 2024)

Black Basta es uno de los grupos de ransomware más activos y sofisticados del panorama global. Desde su aparición en abril de 2022, ha comprometido a más de 500 organizaciones en todo el mundo, según la alerta conjunta publicada por CISA, FBI, HHS y MS-ISAC en mayo de 2024. Su modelo de negocio se basa en la doble extorsión: primero exfiltran los datos de la víctima y después cifran los sistemas, exigiendo un rescate tanto por la clave de descifrado como por no publicar la información robada.

El caso de Ayesa no es aislado en España. Empresas españolas de todos los sectores han sido víctimas de grupos de ransomware en los últimos dos años. La diferencia en este caso es que la AEPD ha intervenido no por el ataque en sí, sino por la gestión posterior de la brecha: la comunicación insuficiente a los afectados.

Por qué las empresas minimizan las brechas

En mi experiencia como perito informático forense, he observado que las empresas tienden a subestimar el alcance de las filtraciones por varias razones:

  1. Análisis forense incompleto: sin un análisis forense digital riguroso, es difícil determinar exactamente qué datos fueron exfiltrados. Muchas empresas basan su evaluación en los registros de acceso disponibles, que a menudo son incompletos o han sido manipulados por los atacantes.

  2. Presión reputacional: comunicar a cientos o miles de empleados que sus DNI y pasaportes están en la dark web tiene un impacto reputacional y legal enorme. Existe una tensión natural entre la obligación de transparencia del RGPD y el instinto de proteger la imagen corporativa.

  3. Falta de herramientas de monitorización: sin sistemas de detección y respuesta (EDR) adecuados, muchas organizaciones no pueden reconstruir la línea temporal completa del ataque ni determinar qué datos fueron extraídos.

Implicaciones para empresas españolas

El expediente contra Ayesa sienta un precedente claro para cualquier empresa española que sufra un ciberataque con filtración de datos. La AEPD está enviando un mensaje inequívoco: no basta con notificar la brecha a la agencia (artículo 33 RGPD); hay que informar adecuadamente a cada persona afectada cuando el riesgo es alto (artículo 34 RGPD).

Plan de respuesta ante ransomware: lo que exige la normativa

  1. Contención inmediata y preservación de evidencia digital: aislar los sistemas comprometidos sin destruir las pruebas. Un perito informático forense debe intervenir desde el minuto cero para garantizar la integridad de la evidencia y la cadena de custodia.

  2. Análisis forense para determinar el alcance real: identificar exactamente qué datos fueron exfiltrados, cuándo se produjo el acceso, qué sistemas fueron comprometidos y cuántas personas están afectadas. No se puede cumplir el artículo 34 sin conocer el alcance real de la brecha.

  3. Notificación a la AEPD en 72 horas (art. 33 RGPD): el responsable del tratamiento debe comunicar la violación de seguridad a la autoridad de control dentro de las 72 horas siguientes a tener conocimiento de ella.

  4. Comunicación a los afectados sin dilación indebida (art. 34 RGPD): si la brecha entraña un alto riesgo para los derechos y libertades de las personas (como cuando se filtran DNI, pasaportes o datos financieros), hay que informar individualmente a cada afectado con un lenguaje claro y llano.

  5. Documentación completa del incidente: registrar todas las decisiones, acciones y comunicaciones relacionadas con la brecha. Esta documentación será clave si la AEPD abre una investigación posterior.

El papel del perito informático forense en brechas de ransomware

En un caso como el de Ayesa, el perito informático forense cumple una función esencial en varias fases del proceso:

FaseFunción del peritoRelevancia para el expediente AEPD
Respuesta inicialPreservación de evidencias, aislamiento de sistemas, volcado de memoria RAMGarantiza que las pruebas sean admisibles en procedimientos judiciales y administrativos
Análisis forenseDeterminación del vector de entrada, cronología del ataque, identificación de datos exfiltradosPermite conocer el alcance real de la brecha para cumplir el art. 34 RGPD
Informe pericialDocumentación técnica del incidente con metodología ISO 27037Sirve como prueba ante la AEPD, juzgados y aseguradoras
Monitorización dark webVerificación de datos publicados, alcance de la filtraciónIdentifica a todos los afectados reales, no solo a los detectados inicialmente
Soporte a reclamacionesAnálisis de daños, cuantificación de la exposición, peritaje para reclamacionesFundamenta las reclamaciones de empleados afectados ante la empresa o ante la jurisdicción civil

La diferencia entre un análisis forense riguroso y una evaluación superficial puede ser la diferencia entre comunicar que hay 35 afectados y descubrir que los datos de cientos o miles de personas están expuestos en la dark web.

Cómo reclamar si tus datos fueron filtrados en el ataque a Ayesa

Si eres empleado o exempleado de Ayesa y sospechas que tus datos personales pudieron verse afectados por el ciberataque de Black Basta, estos son los pasos que puedes seguir:

  1. Solicita información a Ayesa: como interesado, tienes derecho a que el responsable del tratamiento te informe de si tus datos fueron comprometidos, qué categorías de datos se vieron afectadas y qué medidas se han adoptado. Ejerce tu derecho de acceso por escrito (art. 15 RGPD).

  2. Monitoriza tus documentos de identidad: si sospechas que tu DNI o pasaporte fue filtrado, vigila movimientos bancarios inusuales, solicitudes de crédito que no hayas realizado y comunicaciones sospechosas. Considera solicitar un nuevo DNI o pasaporte como medida preventiva.

  3. Presenta una reclamación ante la AEPD: si Ayesa no te informó adecuadamente de la brecha o no atendió tu solicitud de información, puedes presentar una reclamación directamente en la Sede Electrónica de la AEPD. Es gratuito y no requiere abogado.

  4. Recopila y certifica la evidencia: un perito informático forense puede certificar las evidencias digitales que respalden tu reclamación: capturas de la dark web donde aparezcan tus datos, comunicaciones con la empresa, timeline del ataque y la notificación recibida (o no recibida).

  5. Valora la reclamación de daños y perjuicios: el artículo 82 del RGPD reconoce el derecho a indemnización por daños materiales o inmateriales derivados de una infracción del reglamento. Si tus datos de identidad fueron filtrados y puedes acreditar un perjuicio (suplantación, estrés, gastos de renovación de documentos), podrías reclamar ante la jurisdicción civil.

Preguntas frecuentes

¿Qué sanciones puede imponer la AEPD a Ayesa?

La infracción del artículo 34 del RGPD está tipificada como infracción muy grave en el artículo 83.5.e) del reglamento. Las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual de la empresa, aplicándose la cifra que resulte superior. Además, la AEPD puede imponer medidas correctivas como la obligación de notificar la brecha a todos los afectados identificados. El procedimiento sancionador tiene una duración máxima de 12 meses desde su apertura, según la LOPDGDD (RGPD, Art. 83.5).

¿Puedo saber si mis datos están en la dark web tras el ataque a Ayesa?

Verificar si tus datos aparecen en la dark web requiere herramientas especializadas y conocimiento técnico. Como particular, puedes utilizar servicios como Have I Been Pwned para comprobar si tu email ha aparecido en filtraciones conocidas. Sin embargo, para una verificación completa que incluya documentos de identidad, archivos corporativos y datos personales publicados en foros de la dark web, es necesario un análisis profesional. Un perito informático forense con acceso a plataformas de inteligencia de amenazas puede realizar esta verificación y emitir un informe pericial certificando los hallazgos, que sirve como prueba ante la AEPD o ante un tribunal.

¿Qué diferencia hay entre notificar a la AEPD (art. 33) y comunicar a los afectados (art. 34)?

Son dos obligaciones distintas y complementarias del RGPD. El artículo 33 obliga al responsable del tratamiento a notificar la brecha a la autoridad de control (en España, la AEPD) dentro de las 72 horas siguientes a tener conocimiento de la violación de seguridad. El artículo 34 obliga a comunicar la brecha directamente a cada persona afectada cuando la violación entrañe un “alto riesgo” para sus derechos y libertades. La filtración de DNI y pasaportes constituye, sin duda alguna, un alto riesgo: permite la suplantación de identidad, el fraude financiero y otras formas de perjuicio directo. En el caso de Ayesa, el expediente de la AEPD se centra precisamente en el presunto incumplimiento del artículo 34: Ayesa habría notificado a la AEPD pero no habría comunicado adecuadamente a todos los afectados.

¿Tu empresa ha sufrido un ciberataque de ransomware?

Análisis forense de ransomware, determinación del alcance real de la brecha, informe pericial para la AEPD y soporte a reclamaciones de afectados. Metodología ISO 27037. Primera consulta gratuita.

Solicitar consulta gratuita

Fuentes y referencias

  1. Andalucía Información (2026). “Protección de Datos abre expediente sancionador a Ayesa tras ciberataque”. 20 Feb 2026. https://www.andaluciainformacion.es/articulo/sevilla/proteccion-datos-abre-expediente-sancionador-ayesa-ciberataque/202602201158513217001.html

  2. forLOPD (2026). “La AEPD abre expediente sancionador a Ayesa tras la filtración masiva de datos en un ciberataque”. Feb 2026. https://forlopd.es/la-aepd-abre-expediente-sancionador-a-ayesa-tras-la-filtracion-masiva-de-datos-en-un-ciberataque/

  3. Viva Sevilla (2026). “Protección de Datos abre expediente sancionador a Ayesa tras ciberataque”. 20 Feb 2026. https://www.vivasevilla.es/articulo/sevilla/proteccion-datos-abre-expediente-sancionador-ayesa-ciberataque/20260220181801006506.html

  4. CISA, FBI, HHS, MS-ISAC (2024). “StopRansomware: Black Basta”. Advisory AA24-131A, 10 May 2024. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

  5. Reglamento (UE) 2016/679 (RGPD). Artículos 33, 34, 82 y 83. https://eur-lex.europa.eu/eli/reg/2016/679/oj

  6. AEPD (2024). “Guía para la notificación de brechas de datos personales”. https://www.aepd.es/guias/guia-brechas-seguridad.pdf

  7. INCIBE (2025). “Balance de Ciberseguridad 2024: 122.223 incidentes gestionados”. Ene 2025. https://www.incibe.es/incibe/sala-de-prensa/incibe-gestiono-mas-97000-incidentes-ciberseguridad-2024

  8. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). https://www.boe.es/eli/es/lo/2018/12/05/3

Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis de evidencias digitales y protección de datos. Ex-CTO y 5x AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales.

Última actualización: Febrero 2026.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp