Desafortunadamente nos estamos acostumbrando a que los ataques de ransomware, secuestro de datos, sean noticia. En el caso que nos atañe, El Hospital Universitario Central de Asturias ha sufrido un ciberataque que ha comprometido su funcionamiento.

Desde el comienzo de la pandemia de Covid-19, diversos hospitales, no solo en España, han sufrido ataques de ransomware. Los atacantes se hacen con el control de información sensible y necesaria para el funcionamiento normal de la empresa o institución atacada, encriptando dicha información, lo que la hace inaccesible, pudiendo paralizar completamente el funcionamiento de cualquier empresa, incluso, en los casos más graves, suponiendo una severa amenaza para la seguridad nacional.

Todo secuestro suele ir acompañado de su correspondiente petición de rescate, si la victima quiere acceder nuevamente a los datos secuestrados ha de pagar una elevada suma de dinero.

El Sistema de Gestión de PCR se ha visto comprometido

Los hackers han atacado al sistema informático Millennium del Hospital Universitario Central de Asturias, quedando comprometido el sistema de seguimiento de la pandemia de coronavirus, donde se almacenan tanto resultados como peticiones de pruebas PCR. Afortunadamente el ataque ha sido neutralizado y se ha conseguido solucionar a tiempo, sin embargo, como medida de protección, algunos sistemas siguen parados.

Los cibercriminales han intentado hacer el máximo daño posible, sin embargo no se ha pedido rescate, ni ha habido robo de datos según ha indicado el responsable de seguridad.

El ataque ha supuesto que las sesiones de radioterapia de no menos de 200 pacientes hayan tenido que ser suspendidas temporalmente.

¿Por qué hospitales?

Los ataques a hospitales y otros centros de salud que custodian datos sensibles, como son los sanitarios, están dirigidos a conseguir dichos datos, ya sea para que los propios secuestradores cometan todo tipo de ciberdelitos, o de cara a vender dichos datos a otros criminales.

Recordamos que, tal y como marca el artículo 33 de Reglamento General de Protección de Datos, cualquier ataque de este tipo supone una brecha de seguridad que ha de ser comunicada a la Agencia Española de Protección de datos en las siguientes 72 horas, adicionalmente, el responsable del tratamiento de datos deberá llevar a cabo una valoración del nivel de riesgo que supone la brecha de datos personales, estando obligado según el artículo 34 del RGPD, cuando dicho riesgo sea considerado alto, a comunicar la brecha a las personas afectadas.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Con motivo del día Internacional de la Ciberseguridad, el pasado 30 de noviembre, no viene mal recordar, de nuevo, la importancia que la seguridad de la información tiene.

Como hemos venido repitiendo en diferentes artículos, hoy en día, en un mundo cada vez más digitalizado, protección de datos y ciberseguridad forman parte de un mismo ámbito dentro del cumplimiento normativo de las empresas. La primera no se puede entender sin la segunda, pues podemos contar con todos los protocolos necesarios en cumplimiento del RGPD y la LOPDGDD, pero si no tomamos medidas encaminadas a proteger nuestra información automatizada posiblemente de nada servirán nuestros esfuerzos.

Directiva europea de ciberseguridad

Lo anterior se refuerza si tenemos en cuenta que está en camino la conocida como NIS2, o nueva Directiva Europea de Ciberseguridad, aún en fase de borrador, y que vendrá a sustituir, cuando se apruebe, a la Directiva NIS, adaptada en España mediante el Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021.

La nueva Directiva pretende ampliar los sujetos obligados, reforzar las medidas de control de los servicios de computación en nube,  homogeneizar la normativa en el ámbito de los Estados europeos, e implementar un proceso sancionador más restrictivo y exigente. 

Dentro de esta exigencia se contempla en la NIS2 que la ciberseguridad sea reconocida de forma expresa como una responsabilidad en la empresa al más alto nivel, involucrando a los altos directivos

No es extraño que se pretenda elevar el nivel de exigencia en ciberseguridad. Sabemos los datos que nos ha dejado la pandemia en este campo, duplicando, por ejemplo, los ciberdelitos y triplicando los ataques mediante ramsomware. Sin embargo, no parece que en las empresas esto haya supuesto un incremento de las medidas de seguridad en la misma proporción, lo cual es preocupante, no solo en aras a evitar sanciones, sino para no poner en juego la propia continuidad del negocio.

La cultura de la ciberseguridad en las empresas

Al igual que ocurre con el RGPD y la LOPDGDD, es fundamental, más allá del mero cumplimiento formal o “estético”, introducir en las empresas una verdadera cultura de la ciberseguridad, que permita, no solo adoptar medidas técnicas, sino concienciar al personal que tenga acceso a la información del importante papel que juegan en la prevención de posibles ataques informáticos.

A la espera de la NIS2, y con los medios y conocimiento de los que ya disponemos, uno de los puntos clave a la hora de implementar esta cultura de ciberseguridad que perdure en el tiempo sería el de “formación, formación, formación y después…más formación”. Fundamental en todos los campos, y especialmente importante en el de la seguridad informática. Los trabajadores deben tener conciencia de los riesgos y ser capaces de identificar cuándo se encuentran ante uno de ellos (páginas poco seguras, correos con virus malicioso, etc…), proporcionándoles por parte de la empresa los medios y herramientas adecuadas para obtener una capacitación y conocimientos mínimos en conceptos relacionados con la ciberseguridad.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Pasamos horas y horas con nuestros móviles, tablets y portátiles en la Red, pero; ¿Nos preocupa la seguridad del rastro de datos que dejamos en internet? ¿Alguna vez te has parado a revisar la configuración de la privacidad de las aplicaciones que utilizas a diario?.

La Agencia Española de Protección de Datos actualizó la semana pasada su canal oficial de Youtube, donde podemos encontrar su proyecto de videos online “Protege tus datos en internet”, destinado a mostrar al ciudadano cómo puede gestionar su privacidad en la Red.

En el canal podemos encontrar una serie didáctica de videotutoriales, realizados por la Agencia junto con la OSI (Oficina de Seguridad del Internauta) dedicada a detallar paso a paso cómo configurar correctamente la privacidad en los sistemas operativos, navegadores, redes sociales y aplicaciones más utilizadas globalmente.

La Agencia ha actualizado los videos que ya tenía (como los relativos a Facebook, Instagram y Whatsapp) y ha añadido varios nuevos, como los navegadores Chrome y Edge, la red social Tik Tok y la app Telegram. La lista completa de todos los servicios sobre los que instruyen son:
o Redes Sociales: Facebook, Instagram, Tik Tok, Twitter
o Aplicaciones de mensajería instantánea: Telegram, Whatsapp
o Navegadores: Google Chrome, Microsoft Edge, Mozilla Firefox
o Sistemas operativos móviles: iOS Safari, Android

Cada video comienza con una introducción sobre el producto, exponiendo sus posibilidades y su método de funcionamiento. Continúa con un paso a paso, que, apoyado por las imágenes que ves en pantalla, hace muy fácil seguir las instrucciones para poder configurar acertadamente cada aspecto de la privacidad a la que puede llegar el servicio, proporcionando las recomendaciones para llegar al mayor grado de seguridad posible
La manera de activar la autenticación en dos pasos en las redes sociales (que detecta los inicios de sesión en navegadores y dispositivos no reconocidos para asegurarte de que sólo tu tengas acceso a tu cuenta), desactivar el acceso al micrófono y la cámara en las aplicaciones o controlar quien puede ver tu foto de perfil de WhatsApp, son algunas de las instrucciones que podemos encontrar en esta recopilación

Por ejemplo, en el primer vídeo de la serie, dedicado a Facebook, te explica el cómo, a través de los ajustes, configurar tu privacidad para activar la autenticación en dos pasos y recibir alertas de inicio de sesión; cómo elegir quién puede ver tus publicaciones y comentarios, quién puede comentarte y formas de evitar ser encontrado; cómo gestionar tus etiquetas para que tú seas el único que publica en tu perfil; te enseña a bloquear usuarios, a desactivar la ubicación y ocultar tu lista de amigos; así como a gestionar la personalización de la publicidad y a administrar el registro de tu actividad y las copias de tu información

María Galera, Redacción Equal.

 

https://equalprotecciondedatos.com

 

 

 

Más de 3.270 millones de direcciones de correo electrónico con sus contraseñas han sido filtradas en un foro de internet para hackers, convirtiéndose esta en la filtración más importante (y preocupante) de la historia.

Esta filtración apodada como “COMB” (Compilation of Many Breaches), no es una nueva filtración en sí misma, sino una recopilación de todos los datos robados desde 2012 colgados en foros de internet dirigido a delincuentes informáticos. La colección de datos se encuentra archivada en una especie de “contenedor informático”, ordenada alfabéticamente, con sistema de cifrado y protegido con contraseña.

De las filtraciones pasadas compiladas, destaca una filtración masiva que afecto a 117 millones de cuentas de Netflix y LinkedIn en 2017 (la “Breach Compilation”), estos datos unidos a los que los ciberdelincuentes han podido extraer a raíz de ellos, la convierten en la filtración de datos más grande de la historia de internet.

Ahora la pregunta es: “¿Mi correo se habrá visto afectado?”

Como no todo son malas noticias, por fortuna, Cybernews, una agencia de noticias multimedia, ha creado una herramienta online para que podamos comprobar si alguna de nuestras cuentas de correo electrónico se ha visto afectada por esta u otra mega-filtración. Para revisarlo sólo hay que pinchar en el link que os dejamos a continuación y escribir la dirección de email.

https://cybernews.com/personal-data-leak-check/

Si tras clicar en el link has verificado que tu correo electrónico es uno de los afectados, te recomendamos cambiar cuanto antes las contraseñas de todas las cuentas vinculadas a esta dirección.

Hay que destacar la importancia de tener diferentes combinaciones de nombres de usuario y contraseñas para cada cuenta, si no fuese porque la mayoría de usuarios los reutilizan, el impacto del ciberataque habría sido muchísimo menor. Al utilizar la misma combinación continuamente no nos damos cuenta, pero de sufrir un ataque, estamos poniendo en bandeja al hacker el rastreo de todas nuestras cuentas.

Al leer esta noticia pensamos en redes sociales como Facebook, plataformas de entretenimiento como Netflix, correo electrónico… pero tenemos que tener en cuenta que hay otras muchas más importantes como las cuentas en aplicaciones del banco, de comercios electrónicos que tienen acceso a nuestras tarjetas, aplicaciones donde se encuentras nuestros datos de salud, etc.

El avance de la capacidad de ataque de los hackers debe hacernos reaccionar y poner cada vez más barreras a nuestra privacidad.

 

María Galera, Redacción Equal.

 

https://equalprotecciondedatos.com

 

 

 

Ya hemos hablado anteriormente de la creciente importancia de la ciberseguridad en el mundo empresarial (y por añadidura, también en el no empresarial).

 

Lo cierto es que algo que ya tenía importancia hace unos meses, ha visto como, con la llegada de la pandemia del coronavirus, ha aumentado de manera exponencial debido a la proliferación masiva del teletrabajo, reuniones online, etc…

 

La escasa implementación del teletrabajo en España, por ejemplo ha hecho que multitud de empelados hayan estado teletrabajando, y aún continúen muchos, sin unas mínimas condiciones de seguridad informática, lo que ha hecho las delicias de los ciberdelincuentes. Leer más

 

 

En estos tiempos, debido a crisis del COVID-19, el número de videollamadas ha aumentado considerablemente al haberse implantando de manera generalizada el teletrabajo. Esto supone un aumento del riesgo en relación a la privacidad y seguridad de la empresa, somos, desde el punto de vista de la seguridad informática, más vulnerables trabajando desde redes externas a las corporativas, de la misma manera el uso de aplicaciones de videollamada ,si no se toman unas mínimas precauciones, puede comprometer nuestro negocio.

Desde Equal, siguiendo los consejos del INCIBE en esta materia,  facilitamos las siguiente recomendaciones de seguridad en el uso de aplicaciones de videollamada :

Leer más

 

Desde que se declaró el Estado de Alarma, e incluso varios días antes, ya muchas empresas enviaron a sus trabajadores a trabajar a sus domicilios. Ya hemos comentado en días pasados que la adaptación a marchas forzadas a la modalidad del teletrabajo ha conllevado numerosos problemas, Leer más

La situación que estamos viviendo a causa del coronavirus ha hecho que tengamos que adaptarnos a nuevas condiciones de vida, tanto sociales como laborales. Por ello, hemos adoptado hábitos que conllevan el uso de herramientas digitales que nos harán comprender con éxito que el teletrabajo es posible y efectivo. Leer más

Según información del diario “El País”, el coronavirus se ha convertido en el último cebo que los ciberdelincuentes han arrojado a Internet. En las últimas semanas lo han usado para introducir software malicioso en los equipos de los usuarios o robar sus contraseñas.

Leer más