Desafortunadamente nos estamos acostumbrando a que los ataques de ransomware, secuestro de datos, sean noticia. En el caso que nos atañe, El Hospital Universitario Central de Asturias ha sufrido un ciberataque que ha comprometido su funcionamiento.

Desde el comienzo de la pandemia de Covid-19, diversos hospitales, no solo en España, han sufrido ataques de ransomware. Los atacantes se hacen con el control de información sensible y necesaria para el funcionamiento normal de la empresa o institución atacada, encriptando dicha información, lo que la hace inaccesible, pudiendo paralizar completamente el funcionamiento de cualquier empresa, incluso, en los casos más graves, suponiendo una severa amenaza para la seguridad nacional.

Todo secuestro suele ir acompañado de su correspondiente petición de rescate, si la victima quiere acceder nuevamente a los datos secuestrados ha de pagar una elevada suma de dinero.

El Sistema de Gestión de PCR se ha visto comprometido

Los hackers han atacado al sistema informático Millennium del Hospital Universitario Central de Asturias, quedando comprometido el sistema de seguimiento de la pandemia de coronavirus, donde se almacenan tanto resultados como peticiones de pruebas PCR. Afortunadamente el ataque ha sido neutralizado y se ha conseguido solucionar a tiempo, sin embargo, como medida de protección, algunos sistemas siguen parados.

Los cibercriminales han intentado hacer el máximo daño posible, sin embargo no se ha pedido rescate, ni ha habido robo de datos según ha indicado el responsable de seguridad.

El ataque ha supuesto que las sesiones de radioterapia de no menos de 200 pacientes hayan tenido que ser suspendidas temporalmente.

¿Por qué hospitales?

Los ataques a hospitales y otros centros de salud que custodian datos sensibles, como son los sanitarios, están dirigidos a conseguir dichos datos, ya sea para que los propios secuestradores cometan todo tipo de ciberdelitos, o de cara a vender dichos datos a otros criminales.

Recordamos que, tal y como marca el artículo 33 de Reglamento General de Protección de Datos, cualquier ataque de este tipo supone una brecha de seguridad que ha de ser comunicada a la Agencia Española de Protección de datos en las siguientes 72 horas, adicionalmente, el responsable del tratamiento de datos deberá llevar a cabo una valoración del nivel de riesgo que supone la brecha de datos personales, estando obligado según el artículo 34 del RGPD, cuando dicho riesgo sea considerado alto, a comunicar la brecha a las personas afectadas.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.