No había
terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente
afecte a la mitad de la población de Noruega. La
autoridad regional de salud del país nórdico hizo público que fue víctima
de un ataque sofisticado que expuso los datos de cerca de 3 millones de
usuarios.
El ataque
fue descubierto por HelseCert, el
equipo de incidencia de Noruega, que informó a la entidad afectada.
Desafortunadamente, la autoridad regional tomó varios días antes de hacer público
el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida
como General Data Protection Regulation o GDPR) que demandan que ataques contra
datos deben hacerse públicos en menos de 72 horas.
Al parecer
los atacantes tenían un buen arsenal a su disposición lo que puede
indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a
los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa
mina de información.
Aunque los
detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que
achacan la autoría a “actores poderosos”. El análisis digital forense toma
tiempo y los profesionales de seguridad son muy cautos al señalar autorías.
Dado el impacto político de este ataque, no sería raro que los oficiales de la
entidad afectada usen esta común excusa para clamar impotencia.
Ya he
escrito anteriormente acerca de la
responsabilidad compartida que los ejecutivos de empresas y organizaciones
víctimas tienen como garantes de la protección de la información de ciudadanos
y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho
nada inusual) podría indicar pobreza en las prácticas de seguridad informática
de la entidad afectada.
Un hecho a
resaltar es la normatividad europea, GDPR.
Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están
obligados a hacer público que entidades sufren ataques de hackers y la
legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos
están totalmente desamparados en estos casos y desconocen casi por completo que
sucede con su información privada.