El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo. Este se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado. Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la publicación de información confidencial.[1]

Si bien durante los años 2018 y 2019 ya destacaban las notificaciones de brechas de seguridad recibidas en la Agencia Española de Protección de Datos (AEPD) que tenían origen en ataques ransomware, desde 2020, y especialmente en 2021, este tipo de ataques empiezan a ser notablemente protagonistas.

No hay más que echar un vistazo a sus tres últimos Informes de Notificaciones de Brechas de Seguridad de los Datos Personales -los relativos a los meses de enero, febrero y marzo de 2021- donde se hace eco de esta cuestión[2]:

• “Las brechas de seguridad causadas por malware de tipo ransomware siguen siendo protagonistas, afectando a organizaciones de todo tipo”. (Enero 2021)
• “Durante el mes de febrero se ha experimentado un incremento sustancial en las notificaciones recibidas respecto a enero. Un incidente de seguridad de tipo ransomware en un encargado de tratamiento que ha causado brechas de seguridad con consecuencias diversas en varios responsables, principalmente de Cataluña, ha producido este incremento”. (Febrero 2021)
• “El ransomware vuelve a tener un papel destacado produciendo brechas de datos personales en servicios públicos y privados de toda índole, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales”. (Marzo 2021)

Dada la proliferación de estos ataques, en el presente artículo trataremos de aportar una serie de consejos básicos para evitarlos, así como unas pautas a seguir desde el momento en que tengamos constancia de que nuestra organización ha sido víctima de un ataque de estas características.

¿CÓMO EVITARLO?

Para evitar el ransomware podemos adoptar una serie de medidas técnicas, para que nuestros sistemas no tengan agujeros de seguridad, manteniéndolos actualizados y bien configurados.

Es fundamental tener los sistemas operativos, navegadores y aplicaciones actualizados, realizar controles periódicos, realizar copias de seguridad periódicas y conservar una en un lugar diferente, utilizar contraseñas robustas, controlar adecuadamente las cuentas de usuario y administrador y concienciar y formar al personal de la organización.

El Centro Criptológico Nacional (CCN-CERT) nos proporciona medidas más específicas en su informe ‘Medidas de Seguridad contra ransomware’[3], así como el Instituto Nacional de Ciberseguridad (INCIBE). De este último, se puede consultar la Guía ‘Ransomware. Una Guía de aproximación para el empresario’.[4]

SI YA HEMOS DETECTADO EL ATAQUE ¿CÓMO DEBEMOS ACTUAR?

¿Debemos pagar el rescate?

Las diferentes autoridades y organismos en materia de protección de datos y seguridad de la información coinciden en que no se debe pagar el rescate, por los siguientes motivos:

• Pagar no te garantiza que volverás a tener acceso a los datos.
• Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
• Puede que te soliciten una cifra mayor una vez hayas pagado.
• Pagar fomenta el negocio de los ciberdelincuentes.

¿Debe denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado?

INCIBE recomienda denunciar el incidente para que se investigue el origen del delito. Así, se puede colaborar en las labores de prevención a otras entidades y en las acciones para capturar al ciberdelincuente[5]:

• Guardia civil – Grupo de delitos telemáticos
• Policía nacional – Brigada de Investigación Tecnológica (BIT)

¿Debe notificarse a algún organismo o autoridad de control? ¿Y a los interesados?

Además de reportarlo al centro de respuesta a incidente de ciberseguridad, si la incidencia afecta a datos de carácter personal, el responsable del tratamiento debe notificarlo a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD, en su anterior versión, establecía una fórmula orientativa para la comunicación de violaciones de seguridad a la autoridad de control. En su nueva versión, no obstante, suprime dicha fórmula, y nos remite a las ‘Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD)’[6], donde podemos encontrar ejemplos de brechas de seguridad y los factores a tener en cuenta para evaluar la necesidad de notificar a la autoridad de control competente.

En el caso de los interesados, la comunicación a estos será necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades de las personas físicas. Para valorar si procede esta comunicación disponemos de la herramienta Comunica-Brecha RGPD de la AEPD[7], aunque esta ya ha señalado que el uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. También nos podemos apoyar en este caso en las Directrices del CEPD.

DIRECTRICES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

De los diferentes procedimientos en los que la AEPD se ha pronunciado, en asuntos relacionados este tipo de incidentes, se desprende que una buena gestión de un incidente de seguridad originado por un ataque ransomware, conlleva que:

• De manera previa al incidente, la organización cuente con medidas para evitar el ataque o, al menos, minimizar el impacto.
• Se dispongan de protocolos de actuación para afrontar incidentes de este tipo.
• Con posterioridad al incidente, la organización aplique medidas de seguridad adicionales.
• La organización denuncie los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Se genere documentación de todo el proceso de detección, contención, respuesta y se custodien las evidencias.
• Se realice un informe final sobre el incidente.
• Se notifique la brecha a quien corresponda, según la valoración del riesgo realizada.

Nerea San Martín

Equipo Govertis

[1] Ransomware. Una guía de aproximación para el empresario (INCIBE): https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[2] Informes brechas de seguridad AEPD: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad

[3] Medidas de seguridad contra el ransomware (CCN): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html

[4] ‘Ransomware. Una Guía de aproximación para el empresario’: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[5] Ayuda ransomware: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

[6] Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD):  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_es

[7] Comunica Brecha – RGPD (AEPD): https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd