Brechas de seguridad: Ransomware y gestión del riesgo
El ransomware es una ciberamenaza con gran impacto sobre los datos personales que es bien conocida y cada vez más común. En el marco de la COVID-19, este tipo de ataques están afectando de forma significativa a tratamientos de datos de salud. Las personas responsables deben implementar medidas concretas, tanto de carácter preventivo como planes de contingencia, para minimizar las consecuencias de estos ataques.
Con relación al ransomware, es necesario que personas responsables y encargadas de tratamiento tomen conciencia del riesgo que estos ataques plantean, y que apliquen medidas técnicas y organizativas apropiadas para afrontarlos. Estas medidas se han de orientar en tres direcciones: intentar evitar su materialización, tener capacidad para su detección temprana y rápida evaluación de las consecuencias y minimizar el impacto sobre los derechos y libertades de las personas cuyos datos personales se hayan visto afectados.
Para cumplir este tercer aspecto ya no es suficiente contar con copias de seguridad u otro tipo de salvaguarda aislada. Cuando la disponibilidad de los tratamientos tiene un gran impacto sobre la ciudadanía se han de establecer planes de continuidad que garanticen la prestación de los servicios a las personas interesadas.
Los planes de continuidad han de dar respuesta a la cada vez más frecuente amenaza de ransomware, pero han de ir más allá. Las organizaciones han implementado sus servicios TIC con estrategias que requieren alta conectividad y multitud de terceros intervinientes. Por tanto, deben tener la capacidad de resiliencia para afrontar no sólo riesgos técnicos, sino también de todo tipo de contingencias que surgen en el contexto del tratamiento globalizado de la información, como puedan ser los cambios políticos, los cambios normativos o la discontinuidad de productos o aplicativos. Todo ello obliga a disponer de un plan de actuación y plan de continuidad de negocio acorde a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades que presentan los tratamientos de datos personales. Estos planes han de permitir dar una repuesta ágil y precisa en un entorno altamente interdependiente, dinámico y cambiante, sujeto a riesgos legales, políticos, del mercado, geoestratégicos y técnicos.
El ransomware es producto de un entorno altamente interconectado. Esta amenaza es un tipo de malware que impide a una organización el tratamiento de los datos, generalmente cifrando los datos o los sistemas en los que residen, y solicita el pago de un rescate para la recuperación de la disponibilidad de los datos. Se trata de un secuestro de la información, en tanto que quien legitimante debería poder tratarlos, no puede hacerlo.
Un ransomware es por tanto una amenaza no solo a la disponibilidad de los datos personales sino también al servicio que se presta al tratar esa información, lo que puede ocasionar perjuicios para el ejercicio de derechos y libertades de la ciudadanía. Es más, a veces un ransomware no es más que el punto final a otros tipos de incidentes que pueden pasar desapercibidos durante largos periodos de tiempo, como intrusiones en los sistemas de información a través de diferentes vulnerabilidades o malas configuraciones de los sistemas, el compromiso de credenciales de persona usuaria por medio de phishing y/o la obtención de acceso a los sistemas mediante técnicas de ingeniería social. En tal caso, la confidencialidad de los datos personales también se ve comprometida y puede resultar en la venta de estos datos en la dark web. Entre las múltiples variantes, algunos tipos de ransomware tienen como objetivo directamente el robo de contraseñas. Si bien es necesario establecer medidas adecuadas para evitar una brecha de seguridad y en cualquier caso minimizar su alcance, no son menos importantes las medidas técnicas y organizativas que, cuando son adoptadas a priori, permiten reestablecer la disponibilidad de los datos personales. No se trata únicamente de disponer de procedimientos de copias de seguridad, sino de un plan integral para restablecer la disponibilidad de los tratamientos en su conjunto. Estas medidas son clave para asegurar la continuidad de negocio, mejorar la resiliencia y dar cumplimiento a los requisitos de responsabilidad proactiva establecidos en el RGPD.
Todo ello, sin menoscabo de otras obligaciones en el marco de diferentes normativas, así como la obligación de denunciar este tipo de incidentes ante las Fuerzas y Cuerpos de Seguridad del Estado dado que en la mayoría de las ocasiones pueden ser constitutivos de delitos. De esta forma los cibercriminales pueden ser perseguidos. También resulta importante obtener ayuda en la respuesta de los CSIRT de referencia.
Cabe destacar iniciativas como el proyecto No More Ransom! que en determinadas ocasiones puede facilitar la recuperación de los datos cifrados. Pagar el chantaje a los cibercriminales no debe considerarse como una opción posible, pero sí es recomendable guardar la información que ha sido cifrada por si, de aun no estar disponible, en el futuro pueden desarrollarse herramientas que permitan descifrar esta información.
En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad de tipo ransomware puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves para determinar con precisión algunos aspectos clave del análisis de una brecha de seguridad de este tipo y que permiten dar una respuesta adecuada, como son:
- Categorías de datos personales afectados
- Número de registros afectados
- Número de personas afectadas
- Tipología de la brecha de seguridad (disponibilidad y/o confidencialidad)
- En caso de afectar a la disponibilidad, capacidad para reestablecerla sin causar daño o nivel de daño potencial
- En caso de afectar a la confidencialidad, riesgo real de identificación de las personas y nivel de daño potencial
La persona responsable del tratamiento debe tener tal control sobre los sistemas en los que realiza tratamientos de datos personales que le permita determinar con agilidad estos parámetros y valorar el nivel de riesgo para los derechos y libertades de las personas.
La capacidad de determinar este nivel de riesgo es clave para poder dar cumplimiento a los requisitos de responsabilidad proactiva establecidas en el RGPD, como entre otros:
- Obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas, dentro de las 72 horas siguientes a que la persona responsable sea consciente de que el hecho se ha producido.
- Obligación de comunicar la brecha de seguridad a las personas afectadas en caso de que sea probable un alto riesgo para sus derechos y libertades. El objetivo de la comunicación a estas personas afectadas es permitir que puedan tomar medidas para protegerse de las consecuencias.
Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de las personas responsables del tratamiento un formulario en su Sede Electrónica. Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a las personas afectadas, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD.
Puede obtener más información en la Guía para la Gestión y Notificación de Brechas de Seguridad, en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:
- Brechas de seguridad: el correo electrónico y las plataformas de productividad online
- Protección de datos y seguridad
- Brechas de seguridad: Top5 de medidas técnicas
- Brechas de seguridad: comunicación a los interesados
- Brechas de seguridad: qué son y cómo actuar
