Ataques informáticos: proponen un protocolo para que las organizaciones le avisen a sus clientes si fueron expuestos sus datos
La Unidad Fiscal Especializada en Ciberdelincuencia está recomendando generar un protocolo común de reacción ante ataques de ransomware, que incluya la obligatoriedad de avisarle a los posibles damnificados (por ejemplo, clientes de una empresa) del ataque
- 4 minutos de lectura'
En los últimos tiempos crecieron los ataques de tipo ransomware en las empresas y organizaciones, tanto públicas como privadas, en la Argentina. La particularidad es que no solo se trata de un ataque que encripta los archivos y les impide el normal funcionamiento, si es que no pagan un rescate. En los últimos tiempos también se sumó otra variante extorsiva: los delincuentes amenazan con publicar información sensible si es que no se efectúa la transacción.
En ese sentido, en el último tiempo fueron víctimas de esta extorsión empresas aseguradoras, prepagas de salud o incluso organismos estatales, como la Comisión Nacional de Valores. En todos los casos la información se publicó en la dark web luego de los plazos estipulados.
En esos casos aparece un problema de protección de datos personales que afecta a cada uno de los clientes de esas organizaciones. La información está expuesta. Por eso, la Unidad Fiscal Especializada en Ciberdelincuencia le acaba de advertir a la Agencia de Acceso a la Información Pública para que, a raíz del ataque a la CNV, “evalúe el inicio de una investigación por un posible inadecuado tratamiento o resguardo de datos personales/sensibles alojados en servidores de la institución y que, tras el ataque informático, fueron filtrados por los atacantes”.
Y agrega algo más general, que sirve como un protocolo de acción para estos casos: “Le proponemos la emisión, directamente o a través de quien corresponda, de recomendaciones o protocolos de actuación dirigidos a las entidades que sean víctimas de un ataque de este tipo para poder mitigar los daños generados por la difusión pública de los datos obtenidos que, consideramos, debería incluir la notificación a las personas cuyos datos fueron filtrados”.
Según pudo saber LA NACION, la idea es que haya un aviso de lo que ocurrió a los usuarios damnificados, que muchas veces no se enteran de lo sucedido y que no saben qué puede ocurrir con el uso de sus datos. En la misma sintonía, Daniel Monastersky, abogado especialista en protección de datos, explica que “en la actualidad, la protección de los datos personales se ha convertido en una preocupación fundamental para individuos y organizaciones por igual. En este contexto, resulta esencial que las instituciones que almacenan y manejan información confidencial asuman la responsabilidad de garantizar la seguridad de dichos datos y, en caso de una brecha de seguridad, informar de manera oportuna a los titulares afectados”.
Monastersky señala a la vez la importancia del avance del proyecto de reforma de la Ley Nacional de Protección de Datos Personales al Congreso de la Nación, que busca actualizar y fortalecer la normativa existente en materia de protección de datos en Argentina. “Allí están claramente los plazos y las responsabilidades de las organizaciones en caso de una brecha de seguridad que afecte los datos personales. De esta manera, se busca garantizar la transparencia y la protección de los derechos de los individuos afectados, alentando a las entidades a tomar medidas proactivas para prevenir y abordar los incidentes de seguridad de manera efectiva”, señala. Lo siguiente será establecer cómo, en qué plazos y formas, deberán enterarse los afectados.
Pagar no es una opción
Más allá de la protección de datos y qué hacer ante un caso de ransomware, la recomendación gubernamental que brinda el Equipo de Respuesta ante Emergencias Informáticas nacional, CERT.ar, es no pagar ni ante un ataque ni por la posterior exposición. Por varias razones:
- Pagar no garantiza volver a tener acceso a los datos.
- Podría ser objeto de nuevos ataques debido a que se sabe que se está dispuesto a pagar.
- Con los fondos del pago se podrían financiar actividades ilícitas tales como terrorismo, trata de personas, venta ilegal de armas, etc.
- Pueden solicitar una cifra mayor luego del pago.
- Pudieron haber realizado una copia de los datos antes de encriptarlos, con lo cual no asegura estar libre de futuras extorsiones o fugas de información.
- Para algunas instituciones como los Estados podría ser ilegal el acto de pagar, aunque se haga de buena fe para recuperar la información comprometida.