Comienzan las filtraciones de datos de los pacientes del Hospital Clinic
El pasado 5 de marzo el Hospital Clinic de Barcelona sufrió un ciberataque que causó la sustracción de los datos de miles de pacientes, así como la paralización del sistema informático del Hospital. RansomHouse, la organización delictiva que ejecutó el ataque informático solicitó un rescate de 4,25 millones de euros por los datos, bajo la amenaza de hacerlos públicos.
Debido a que la Generalitat no ha cedido al chantaje de los delincuentes, estos han comenzado a publicar los datos sustraídos en la deep web, esto es, la internet oculta utilizada por los ciberdelincuentes. Si bien los Mossos d’Esquadra han conseguido bloquear la página web que los ciberdelincuentes utilizaban para publicar la información, está previsto que en los próximos días realicen nuevas filtraciones en otros portales, siendo este el modus operandi de la banda criminal.
¿Qué riesgo conlleva para los interesados la exposición de sus datos en la Deep web?
La Deep web no es indexable desde los buscadores comunes utilizados por la mayoría de los usuarios, por lo que su acceso (en principio) se ve restringido a aquellas personas que utilizan la internet profunda para no dejar rastro de su actividad y ocultar su identidad; en definitiva, por los ciberdelincuentes.
Los datos publicados en la Deep web pueden ser utilizados por otros ciberdelincuentes para realizar estafas, fraudes, extorsiones, e incluso suplantaciones de identidad. Es decir, los datos pueden ser utilizados para comunicarse con los pacientes y extorsionarles, así como para hacerse pasar por una entidad de confianza (Administración Pública, entidades bancarias…) con el ánimo de estafar al interesado. Por esta razón, es imprescindible que los pacientes que sospechen que sus datos han sido filtrados recelen de cualquier comunicación sospechosa que reciban.
Si bien los hackers tienen la capacidad necesaria para construir en pocos días otro portal en el que filtrar la información, el bloqueo realizado por la Comisaría General de Investigación Criminal (CGIC) de los Mossos supone un escoyo en sus planes, que junto a la negativa de la Generalitat a pagar el rescate puede evitar otros ataques en un futuro, ya que los criminales optarán por atacar otros objetivos dispuestos a pagar el precio del rescate.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.