Recientemente, el Ayuntamiento de Sevilla ha sufrido un ciberataque en forma de ransomware. Como media de previsión se han tenido que interrumpir todos los servicios digitales, para minimizar el daño que el ataque podría causar.
De esta forma han podido detener el daño y a la espera de los informes definitivos, proteger los datos de los usuarios ante posibles fraudes.
¿Qué lo que es un ‘ransomware’?
Para explicarlo de forma fácil: El ransomware es un malware que impide a los usuarios acceder a sus sistemas o archivos, que viene acompañado. Por lo general, los atacantes piden un rescate – sin garantías, como ha sido el caso; a veces, los destruyen.
¿Cómo llega un ransomware a mi sistema?
Uno de los métodos más habituales actualmente es descargar el ransomware a través de correo electrónico spam malicioso, que son mensajes no solicitados. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.
Por ello, un simple error humando puede causar un desastre enorme en una organización, como ha pasado con Ayuntamientos, Hospitales y sistemas gubernamentales en muchos países en los últimos años.
¿A quién ataca un ransomware?
Al introducir el ransomware inicialmente (y posteriormente se reintrodujo), estaba dirigido a sistemas particulares (es decir, personas normales y corrientes). Sin embargo, los ciberdelincuentes empezaron a ser conscientes de todo su potencial y desplegaron el ransomware para las empresas y organizaciones. Con ello tuvieron tanto éxito que decidieron seguir atacando a estos sectores, llegando incluso a detener la producción, evacuar hospitales enteros y provocar pérdidas de datos y de beneficios por sumas muy maltas.
Hacia finales del 2016, el 12,3 % de las detecciones empresariales fueron ransomware (a nivel global), frente a solo un 1,8 % de detecciones de usuarios particulares a nivel internacional.
En 2017 el 35 % de las PYMEs habían experimentado un ataque con ransomware.
¿Qué hacer si tengo un ransomware en mi sistema?
Lo más importante, en cualquier caso de infección con ransomware, es no pagar el rescate. Es un consejo respaldado por el FBI para los afectados. En caso contrato, animaríamos a los ciberdelincuentes a lanzar más ataques.
Para solucionarlo, existen desencriptadores gratuitos, pero no todas las familias de ransomware disponen de estas opciones. Hay formas de ransomware muy sofisticados que hay que dejar en manos de especialistas IT / TI antes de estropearlo del todo.
También existen productos de seguridad descargables para la desinfección y análisis con el fin de eliminar la amenaza. Aunque posiblemente no recupere todo lo perdido, al menos elimina la infección.
En el caso de bloqueo de pantallas habrá que restaurar el sistema por completo.
La importancia de la Protección de Datos en estos ataques
Con relación al ransomware, es necesario que personas responsables y encargadas de tratamiento tomen conciencia del riesgo que estos ataques plantean, y que apliquen medidas técnicas y organizativas apropiadas para afrontarlos. Estas medidas se han de orientar en tres direcciones: intentar evitar su materialización, tener capacidad para su detección temprana y rápida evaluación de las consecuencias y minimizar el impacto sobre los derechos y libertades de las personas cuyos datos personales se hayan visto afectados, según indica la AEPD en relación a estos ataques.
Además, resume de forma muy fácil de entender los pasos a seguir:
En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad de tipo ransomware puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves para determinar con precisión algunos aspectos clave del análisis de una brecha de seguridad de este tipo y que permiten dar una respuesta adecuada, como son:
- Categorías de datos personales afectados
- Número de registros afectados
- Número de personas afectadas
- Tipología de la brecha de seguridad (disponibilidad y/o confidencialidad)
- En caso de afectar a la disponibilidad, capacidad para reestablecerla sin causar daño o nivel de daño potencial
- En caso de afectar a la confidencialidad, riesgo real de identificación de las personas y nivel de daño potencial
La persona responsable del tratamiento debe tener tal control sobre los sistemas en los que realiza tratamientos de datos personales que le permita determinar con agilidad estos parámetros y valorar el nivel de riesgo para los derechos y libertades de las personas.
La capacidad de determinar este nivel de riesgo es clave para poder dar cumplimiento a los requisitos de responsabilidad proactiva establecidas en el RGPD, como entre otros:
- Obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas, dentro de las 72 horas siguientes a que la persona responsable sea consciente de que el hecho se ha producido.
- Obligación de comunicar la brecha de seguridad a las personas afectadas en caso de que sea probable un alto riesgo para sus derechos y libertades. El objetivo de la comunicación a estas personas afectadas es permitir que puedan tomar medidas para protegerse de las consecuencias.
Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de las personas responsables del tratamiento un formulario en su Sede Electrónica. Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a las personas afectadas, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD.
Puede obtener más información en la Guía para la Gestión y Notificación de Brechas de Seguridad, en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:
- Brechas de seguridad: el correo electrónico y las plataformas de productividad online
- Protección de datos y seguridad
- Brechas de seguridad: Top5 de medidas técnicas
- Brechas de seguridad: comunicación a los interesados
- Brechas de seguridad: qué son y cómo actuar
CEO DATA PROTECT PLUS®
Sylvia Fries