El 7 de octubre del 2022 será un día difícil de olvidar para los trabajadores de más de 13 centros sanitarios que componen el CSI. Al incorporarse a su puesto de trabajo, de golpe y de forma sorpresiva volvieron a los años 50 del pasado siglo XX, donde todo se tenia que hacer “a manoâ€, incluidas las historias clínicas de los pacientes. El problema no era otro que un nuevo ciberataque que aprovechó una vulnerabilidad del sistema de correo electrónico para introducir una versión mejorada del malware Defray 777, en este incidente se utilizó el malware más novedoso y menos conocido fuera de los círculos de ciberseguridad, el ransomware Exx. Este programa encripta de forma avanzada los archivos evitando que los usuarios puedan acceder a los mismos, haciendo imposible la actividad operativa del terminal afectado. En este caso, la víctima es un consorcio sanitario titular de una administración pública autonómica y por tanto la autoridad de control competente sería la autonómica, en concreto la Autoritat Catalana de Protecció de Dades. También consta que la Agència de Ciberseguretat de Catalunya a participado activamente en la solución del problema. Según lo publicado, a la fecha actual, el problema técnico se encuentra totalmente resuelto y los sistemas de información ya están en pleno funcionamiento. Hasta aquí un resumen de los hechos publicados en prensa, pero... ¿qué repercusiones puede llegar a tener en materia de privacidad? Repercusiones directas. No hay una única forma correcta de afrontar una crisis, y cada una requiere de su acciones, coordinación y gestión, pero en todo caso nos permitimos apuntar algunas acciones más que necesarias. En materia de protección de datos, la primera acción que hay que realizar ante un ataque de estas características es PONER EN CONOCIMIENTO DEL DELEGADO DE PROTECCIÓN DE DATOS dicha circunstancia, ya que el DPD es la figura esencial en la gestión de este tipo de incidentes, tanto en su faceta de intermediación con las autoridades de control como en la coordinación de acciones y evaluación del riesgo. Hay que recordar que en el caso de pérdida, sustracción o falta de disponibilidad de datos personales se tendrá que notificar la brecha de seguridad a la autoridad de control competente (en este caso la ACPD) en el plazo de 72 horas. En paralelo o inmediatamente posterior, se tendrá que activar a nuestro responsable de CIBERSEGURIDAD (interno o externo) para que controle y minimice en todo lo posible el ataque y sus consecuencias. En este punto, conviene destacar que es habitual la solicitud de pago por el rescate de los datos, cosa que entendemos que puede ser de alto riesgo, ya que nada nos garantiza la recuperación de los datos, fomentamos que nos pongan en la lista de “víctimas que paganâ€, además de incentivar la proliferación de este tipo de chantajes y delitos. La tercera acción, que puede ser encomendada al DPD o a cualquier directivo o apoderado de la institución, es la denuncia ante la autoridad competente, ya sea juzgado de guardia, fiscalía o fuerza policial con competencias en delitos de daños informáticos y cibercrimen. Se recomienda realizar especial mención en que la denuncia interpuesta vaya a parar a la unidad específica de cibercrimen, que por suerte ya disponen casi todos los cuerpos policiales (GDT, BCIT, Mossos, etc). Es de suponer que una buena política de copias de seguridad “limpias†y los buenos oficios del equipo de trabajo asignado a la solución de la incidencia, permitirán restaurar con garantías los sistemas. Y una vez todo restaurado y puestos los sistemas en producción la parte tecnológica parecerá resuelta...o no. En efecto, tan o más importante que solventar el ataque es detectar el vector, es decir, por donde ha conseguido el “malo†introducirse en nuestros sistemas. De ahí viene la importancia de contar con un equipo de ciberseguridad adecuado. Prometemos tratar este tema con más profundidad en futuros artículos. En todo caso, en el presente artículo nos vamos a centrar en las consecuencias jurídicas que puede tener para los responsables de tratamiento el ataque con el ransomware, y sobre todo el “robo†de datos y su posterior publicación en la web profunda o Deep Web. REPERCUSIONES DERIVADAS. Dado lo expuesto, es evidente que la notificación de la incidencia a la autoridad de control competente comportará la apertura de un expediente administrativo que puede derivar en un expediente sancionador. En este punto hay que recordar que las administraciones públicas como es el caso de CSI no tienen sanciones económicas, resumiendo: la máxima consecuencia que tendrá la entidad previsiblemente consistirá en una amonestación formal, que no es plato de buen gusto de nadie, pero que no significará sanciones económicas, aunque en algunos casos muy extremos pudiera tener consecuencias disciplinarias. Hasta aquí lo previsto, la apertura de expediente sancionador con resolución sancionadora por falta muy grave del CSI. Lo que seguramente no esta tan previsto, y se ignora las consecuencias es las acciones que puedan emprender los afectados con la administración negligente que ha permitido que sus datos campen por la Deep web sin control y al alcance de cualquier que sepa donde buscarlos. Estamos hablando de historias clínicas, documentos privados de los trabajadores, documentos de identidad, y otros muchos que pueden afectar muy seriamente a la intimidad de las personas (por ejemplo, diagnósticos de SIDA, enfermedades de transmisión sexual, toxicomanías, etc.). Es evidente que la rotura del principio de confidencialidad de los datos médicos puede generar un mal estar y un resquemor a las víctimas, en este caso, pacientes y trabajadores. Pero, llegados a este punto, ¿Qué puede hacer una víctima?, es evidente que el primer derecho que tiene la víctima es ser notificada de forma fehaciente (art. 35 RGPD) por parte del responsable de tratamiento de la situación de sus datos, si es o no víctima. Por tanto, es imprescindible que el responsable de tratamiento notifique de forma fehaciente a las víctimas y al resto de usuarios si están o no están en los casi 54 Gygas de información robados y expuestos públicamente. Por cierto, creemos que dicha comunicación tiene que hacerla el responsable de tratamiento y no una autoridad de control independiente... Finalmente, destacaremos las posibilidades de diferentes acciones legales que el RGPD permite emprender contra el responsable de fichero, sea público o privado. Está claro que la vulnerabilidad del vector de ataque era conocida, que hay un daño cierto, valorable económicamente, que ha generado intranquilidad y en algunos casos angustia a los afectados y que los mismos no tienen la obligación legal ni moral de soportar. Por tanto, es perfectamente aplicable el principio de responsabilidad patrimonial de la administración, y creemos que no tardaremos mucho en ver como colectivos de afectados se coordinan para emprender acciones legales colectivas contra la Administración afectada solicitando las indemnizaciones que legalmente les pudiera corresponder. También desde estas letras nos permitimos recordar que la información subida a la Deep web es “para siempreâ€, es decir, nadie puede garantizar que dicha información pueda ser borrada nunca de los miles de servidores que componen la red (recordemos el caso de la concejala de Yébenes), por tanto, dicha información es una espada de Damocles sobre todas las personas afectadas, que dentro de unos años cuando nadie se acuerde del tema, correrán el riesgo de que alguien le pregunte sobre su tabaquismo o su insuficiencia renal en una cita personal generada por una app o incluso en una entrevista de trabajo y no sepan cómo responder... En fin, lo dicho, estaremos atentos a la evolución del presente incidente, recomendando encarecidamente que se sigan todas las instrucciones y consejos en ciber seguridad que vayan haciendo los Delegados de Protección de Datos, y en caso de duda, se realice una buena auditoria de ciberseguridad con una empresa acreditada que nos permita mantener “limpios†y seguros nuestros sistemas de información. Os seguiremos informando, ATGROUP Un cordial saludo.