martes, 20 de febrero de 2018

Otro ataque devastador


No había terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente afecte a la mitad de la población de Noruega. La autoridad regional de salud del país nórdico hizo público que fue víctima de un ataque sofisticado que expuso los datos de cerca de 3 millones de usuarios.

El ataque fue descubierto por HelseCert, el equipo de incidencia de Noruega, que informó a la entidad afectada. Desafortunadamente, la autoridad regional tomó varios días antes de hacer público el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida como General Data Protection Regulation o GDPR) que demandan que ataques contra datos deben hacerse públicos en menos de 72 horas.

Al parecer los atacantes tenían un buen arsenal a su disposición lo que puede indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa mina de información.

Aunque los detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que achacan la autoría a “actores poderosos”. El análisis digital forense toma tiempo y los profesionales de seguridad son muy cautos al señalar autorías. Dado el impacto político de este ataque, no sería raro que los oficiales de la entidad afectada usen esta común excusa para clamar impotencia.

Ya he escrito anteriormente acerca de la responsabilidad compartida que los ejecutivos de empresas y organizaciones víctimas tienen como garantes de la protección de la información de ciudadanos y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho nada inusual) podría indicar pobreza en las prácticas de seguridad informática de la entidad afectada.

Un hecho a resaltar es la normatividad europea, GDPR. Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están obligados a hacer público que entidades sufren ataques de hackers y la legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos están totalmente desamparados en estos casos y desconocen casi por completo que sucede con su información privada.