Ransomware y datos personales: la amenaza secundaria

Las secuelas de los últimos ataques de ransomware aún continúan. Y no solo por su impacto económico o a nivel de reputación, sino incluso por la repercusión en la salud pública. Al fin y al cabo, el entorno sanitario es la principal víctima de brechas de seguridad, con datos personales de casi 16 millones de personas sustraídos el pasado año solo en Estados Unidos.

Ransomware_Technology_2Pero los problemas causados por el ransomware van más allá de recuperar los datos robados. Un ataque de ransomware puede evidenciar que se han robado datos personales, algo que expone a las organizaciones que lo sufren a las leyes sobre privacidad, y más cuando falta menos de un año para que el GDPR entre en vigor. Este reglamento obliga a las empresas a notificar la brecha de seguridad ante las autoridades y ante las potenciales víctimas en menos de 72 horas desde que se descubre la intrusión. Las organizaciones, por tanto, necesitan una forma de buscar y descubrir qué información ha sido robada en un esfuerzo por determinar el alcance del problema.

Hemos visto un enorme crecimiento de robos de datos mediante distintas técnicas de hackeo, incluyendo phishing y ransomware. El pasado año, la Global Response Intelligent Defense (GRID) Threat Network de SonicWall avisó de que el uso de ransomware había crecido 167 veces en tasa interanual y que era el principal contenido de las campañas de correo electrónico malicioso y de los exploit kits.

Ransomware_Map_1La petición de rescate en sí misma es normalmente la primera prueba de que ha habido una intrusión. Esto es particularmente cierto en el caso de los puestos de trabajo, que normalmente son gestionados por usuarios con poco conocimiento sobre las políticas de datos de su empresa y que no suelen realizar actualizaciones del sistema con la frecuencia necesaria. Como en cualquier evento de pérdida de datos, también se puede determinar si ha habido robo de datos personales basándose en el análisis forense. Si los cibercriminales tienen la habilidad de robar los datos o de hacerlos inaccesibles, es muy posible que los utilicen para otros propósitos, además de para cobrar un rescate.

En este caso, el ataque podría requerir la notificación de la brecha de seguridad ante las autoridades competentes y ante las víctimas potenciales. La exposición a mala prensa, a que los clientes pierdan la confianza y a las posibles multas, supone un riesgo considerable para cualquier organización.

Más allá de aplicar el sentido común a la infraestructura y a la gestión de los datos, hay cinco lecciones que podemos aprender:

  1. Aunque no tenga evidencia directa de que se hayan perdido datos personales, la posibilidad de que haya podido ocurrir ya le deja abierto a requerimientos de notificación.
  2. Con la rápida adopción de la nube y soluciones de tipo SaaS, los datos están cada vez más distribuidos, por lo que es necesaria una protección adecuada. Aunque los datos comprometidos no estuvieran alojados en sus instalaciones, sigue siendo responsabilidad de la empresa determinar si ha habido información personal comprometida y, en caso afirmativo, comenzar el proceso de notificación. Se trata de sus clientes, prospects, inversores y empleados.
  3. Minimice la superficie de amenaza. Mantenga sólo los datos personales necesarios para atender las necesidades empresariales y legales directas. Utilice políticas de archivado para identificar instancias de datos personales, eliminar, cifrar y/o trasladar la información a ubicaciones más seguras que puedan rastrearse completamente. La educación es útil, pero la automatización es clave.
  4. Si tiene 72 horas para notificar la brecha de seguridad a las autoridades supervisoras y a las víctimas, el acceso a la información alojada en servidores, ordenadores portátiles, aplicaciones y entornos SaaS se convierte en absolutamente esencial. La capacidad de buscar en todos estos silos puede suponer la diferencia entre cumplir con la normativa o hacer frente a enormes multas.
  5. Le afecte o no directamente el GDPR, se trata de un enfoque respecto a la privacidad que proporciona un marco excelente para la gestión responsable de los datos personales.