Exclusiva | Plataforma de noticias

Audios y Noticias desde Santiago del Estero, para toda Argentina y el Mundo. Exclusiva | Plataforma de noticias

Ciberseguridad: piden que se obligue a las empresas informar a sus clientes si sus datos fueron hackeados

La fiscalía especializada en cibercrimen propuso un protocolo con recomendaciones para actuar luego de un ataque de ransomware.
¡Compartilo!

Los casos de hackeos y ataques de ransomware a empresas están en aumento en Argentina. Este tipo de acción, que puede llegar a secuestrar los datos de entidades, encriptarlos y pedir rescate para liberarlos, creció y mutó con una nueva variante extorsiva: ahora los ciberdelincuentes amenazan con la publicación de la información en caso de que no se concrete el pago.

En la mayoría de estas situaciones, los datos se comparten en la dark web, y dejan al descubierto información sensible de las empresas y sus clientes. En los últimos tiempos, fueron víctimas de esta modalidad prepagas de salud, aseguradoras e incluso organismos estatales, como la Comisión Nacional de Valores.

Así, el derecho a la protección de datos personales, que afecta a cada uno de los clientes de esas organizaciones, aparece en el centro de la escena. A raíz de este problema, que incluye el ataque a la CNV, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) instó a la Agencia de Acceso a la Información Pública que evalúe el inicio de una investigación por un posible inadecuado tratamiento o protección de datos personales y/o sensibles alojados en servidores de la institución y que, tras el ataque informático, fueron filtrados por los atacantes.

El pedido de la fiscalía propone la creación de un protocolo con recomendaciones de actuación ante los ataques de ransomwareLa propuesta pide que se redacten sugerencias dirigidas a las empresas para poder mitigar los daños generados por la difusión pública de los datos de sus clientes. Además, se deben incluir notificaciones a las personas (clientes) afectados.

Qué hacer en caso de un ataque de ransomware
Por otra parte, desde el CERT.ar, el Equipo de Respuesta ante Emergencias Informáticas, recomiendan nunca pagar ante un ataque de ransomware ni luego de la exposición de datos.

Las razones son varias: el pago no garantiza recuperar los datos y que se borren la información ya expuesta, sienta el precedente ante posteriores ataques y el dinero obtenido puede financiar otras actividades delictivas.

El caso del hackeo a la CNV

El ciberataque a la Comisión Nacional de Valores se hizo público el pasado 11 de junio, cuando el grupo de ransomware Medusa publicó entre sus víctimas a la entidad que regula los mercados en el país. Ocho días más tarde, los archivos fueron publicados en la dark web y, días después, en Telegram.

La fiscalía, al frente del fiscal Horacio Azzolín, describió en un comunicado esta semana todo lo registrado desde que ocurrió el ataque, el 7 de junio a las 7.30, incluido el comunicado oficial de un “ciberataque contenido” de la CNV, que fue desmentido cerca de una semana más tarde cuando se conocieron los archivos filtrados.

Además, encarga investigar si la CNV manejó correctamente el ciberataque: “Solicitamos una investigación administrativa, para ver si la CNV había administrado adecuadamente su información. Eso tiene que ver con el cuidado de las bases de datos que puede haber tenido la CNV”, explicó  Azzolín. Este procedimiento suele ser el mismo en todos los casos de ransomware que recibe e investiga la fiscalía.

“En este caso concreto nos pareció que había que dar un paso más con relación a las filtraciones de datos y las mitigaciones de daños”, detalló el fiscal. Y agregó: “Le pedimos a la Dirección de Protección de Datos Personales, que es el organismo competente en esta cuestión, que avance. Ellos habían tenido ya algunas resoluciones con relación al inadecuado tratamiento de los datos y había antecedentes de sanciones por la filtración de datos, pero a falta de regulación específica, solicitamos que analicen el caso para que en el futuro los efectos de este tipo de ataques no sean tan dañinos para los titulares de los datos personales”.

La UFECI puso en conocimiento del caso a la Dirección Nacional de Datos Personales y le requirió que estudie si la CNV fue diligente en el cuidado de la información y que indague sobre el plan de mitigación de daño que elaborará el organismo del sistema financiero para poner en conocimiento de la filtración a las personas cuyos datos se encuentran expuestos públicamente.