En las últimas fechas los medios de comunicación se han hecho eco de distintas brechas de seguridad sufridas tanto por Administración Pública como por empresas privadas, que habían sufrido ataques informáticos que habrían secuestrado la información tanto de estos como de sus clientes.
Este titular requiere muchas aclaraciones y, sobre todo, analizar cómo nos afecta en materia de Protección de Datos.
“A mí no me va a pasar”: Para empezar, es conveniente aclarar que no se trata de un ataque informático necesariamente dirigido de manera expresa contra una entidad o empresa. Este tipo de ataques pueden ser dirigidos de manera aleatoria, por lo que todo ciudadano está expuesto y no sólo las grandes empresas.
“Ya tengo antivirus”: No todos los ataques mediante malware son detectados por antivirus. De hecho, en muchos de nuestros dispositivos no tenemos un antivirus debidamente actualizado, como en nuestros teléfonos móviles, o su eficacia no es la que esperamos.
“Ya hago copias de seguridad”: No lo dudo, pero… ¿está seguro de que las está haciendo bien? Si esta copia no queda ‘desconectada’, también se puede ver afectada. Incluso el ataque puede haber infectado nuestros sistemas, no haberse hecho constatar y nosotros podríamos estar sobrescribiendo nuestra copia de seguridad con información ya dañada.
“Pues pagaré el rescate”: Muchos de estos ataques ofrecen la posibilidad de, mediante el pago de un ‘rescate’ mediante NFC (moneda no fungible, como por ejemplo el Bitcoin, que no podría ser rastreado), y así poder recuperar nuestros datos. Por desgracia eso nos llevaría a que el secuestrador nos volviera a reclamar más dinero o directamente que no pudiéramos recuperar los datos porque la contraseña con la que se han cifrado haya sido eliminada. Nunca podemos fiarnos de un delincuente como estos.
“Tengo un informático de confianza muy bueno”: No se trata de conocimientos sino de técnicas. El cifrado con el que estos ataques están bloqueando nuestros archivos puede ser muy robusto y prácticamente indestructible. El desarrollador de estos ataques también es muy bueno y probablemente mejor que su informático de confianza.
Tras estas preguntas nos queda entonces responder a la principal: ¿Cómo lo evito?
Tal y como explica el Reglamento Europeo de Protección de Datos (UE) 679/2016 y la Ley Orgánica de Protección de Datos y garantía de derechos digitales 3/2018, las medidas de seguridad deben aplicarse desde el diseño y por defecto, y deberán ser valoradas, evaluadas y verificadas periódicamente, dentro del Principio de Responsabilidad Proactiva.
La primera medida es prevenirlo mediante formación a todos y cada uno de los miembros de la empresa, desde el cargo más alto hasta el más bajo. Aun así, todos somos humanos, somos el eslabón más débil de la cadena de seguridad, por lo que debe plantearse la probabilidad de que el error humano ocurra. Para ello verificaremos que nuestras medidas secundarias son las adecuadas, como sistemas de detección y eliminación de estos archivos y correos maliciosos, así como copias de seguridad alternas en distintos dispositivos que queden desconectados y disgregados para poder recuperar la máxima cantidad de información posible en caso de haber sido afectados.
Un ataque como este supone una Brecha de Seguridad que, según la normativa actual, requeriría la notificación tanto a la Agencia Española de Protección de Datos como a todos y cada uno de los afectados, con el daño reputacional y económico que esto puede suponer, ya que no contar con las medidas de protección necesarias es sancionable. Por eso insistimos mucho en que las medidas de seguridad sean las adecuadas y oportunas, que enfrentemos nuestros sistemas de tratamiento de datos a una Evaluación de Impacto si fuese necesario y que dejemos documentadas las medidas de seguridad aplicadas para evitar estos riesgos.
GUIA DEL INCIBE PARA REALIZACION DE COPIAS DE SEGURIDAD: https://www.incibe.es/protege-tu-empresa/guias/copias-seguridad-guia-aproximacion-el-empresario
GUIA DEL INCIBE DE CIBERAMENAZAS EN EL ENTORNO EMPRESARIAL: https://www.incibe.es/sites/default/files/contenidos/guias/doc/ciberamenazas_contra_entornos_empresariales.pdf
