Ciberataque y datos. Qué lecciones debemos aprender

El virus WannaCrypt se propagó el viernes de forma indiscriminada, comenzando por Reino Unido y España y llegando a sitios web en todo el mundo. Ello lo hizo utilizando fragmentos de datos robados de la NSA en EEUU.

El presidente y director jurídico de Microsoft, Brad Smith, señaló las lecciones que debemos dar por aprendidas del ataque que ha afectado a empresas y servicios gubernamentales de todo el mundo.

Este ataque proporciona otro ejemplo más de por qué las vulnerabilidades de los gobiernos son un problema. Este es un patrón emergente en 2017. Hemos visto vulnerabilidades almacenadas por la CIA aparecer en Wiki Leaks y ahora esta vulnerabilidad robada de la NSA ha afectado a clientes de todo el mundo”, ha señalado.

Este ataque representa un vínculo desconcertante entre las dos formas más graves de amenazas de ciberseguridad en el mundo actual: la acción del Estadonación y la acción criminal organizada. Por eso, los gobiernos del mundo deben tratar este ataque como una llamada de atención.

En febrero, Microsoft planteó crear una “Convención Digital de Ginebra”, precisamente para proteger al mundo de estas amenazas, incluyendo la necesidad de que los gobiernos informen de sus vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o explotarlas.

“En pocas palabras, las armas cibernéticas son el equivalente digital a almacenar un arsenal nuclear y mantenerlo en una caja fuerte (o mantener un virus mortal en la nevera de la oficina)”, ha dicho tajantemente Smith.

¿Qué implica un ciberataque para las Empresas Españolas?

Aunque un ciberataque o un “secuestro de datos” (como se llama en algunos círculos, por tener que pagar un montante de dinero a cambio de la liberación de los archivos) puede suponer siempre una faena por las empresas, si éstas cumplen a rajatabla con las medidas de seguridad que impone la Ley Orgánica de Protección de Datos y su normativa de desarrollo, no debería suponer más que un dolor de cabeza, pero nunca la necesidad de desembolsar la cantidad que piden los ciberatacantes.

La protección de los datos como prevención a ciberataques

La LOPD (Ley Orgánica de Protección de Datos) obliga a todas las organizaciones, empresas e instituciones a garantizar la seguridad de los datos de carácter personal que tratan y almacenan en sus sistemas de información, y clasifica estos datos en tres niveles de seguridad. Básico, Medio y Alto.  

Para cada nivel se imponen una serie de obligaciones en materia de Backup desde la propia realización del Backup, pasando por garantizar la restauración de los datos al momento anterior de producirse la pérdida, hasta la obligación de disponer de un Backup externalizado.

Para los datos de nivel básico (cualquier tipo de dato, incluso los de facturación, por lo que afecta a cualquier actividad, asociación, o profesión liberal), será obligatorio realizar copias de seguridad al menos una vez a la semana (art. 94.1 Reglamento 1720/2007). Estas copias, además, deberán garantizar la restauración de los datos al momento justo anterior a la pérdida (art. 94.1 Reglamento 1720/2007).

Si además la empresa dispone de datos de nivel alto (datos especialmente protegidos, como la salud, formación, selección de personal, RRHH, vida sexual) siempre deberá disponerse de una copia externa, es decir, fuera de las instalaciones de la empresa (art. 102 Reglamento 1720/2007).

Pero además, la normativa y la propia Agencia de Protección de Datos estiman que el empresario deberá tomar cuantas medidas sean necesarias para garantizar la seguridad de los datos. Ello implica que si en nuestra empresa se generan cada día (o cada hora) multitud de nuevos datos, las copias deberán hacerse con más o menos frecuencia. Además, deberemos buscar un sistema para que estos datos se vayan sincronizando en algún soporte (físico o en la nube), que no pueda verse afectado por un ataque cibernético.

¿Y el Reglamento de la UE qué dice?

Por si esto fuera poco, la entrada en vigor del Reglamento General de Protección de Datos (UE), cuyo cumplimiento será exigible a partir del 25 de mayo de 2018, amplía las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, los autónomos y la Administración Pública entre otros. Estas medidas incluyen la obligación de implementar cifrados y sistemas de 2FA incluso sobre datos considerados de nivel básico, cuando el riesgo lo exige. Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde Europa.

Por lo tanto, si nuestra empresa está correctamente adaptada a la LOPD, y en especial al nuevo reglamento, no debería tener nunca que pagar para recuperar los ficheros en caso de un ciberataque, ya que podría recuperar los datos almacenados en cualquier momento.

Ciberataque y datos son dos caras de una misma moneda. Para evitar un susto y prevenir de males mayores puedes asesorarte de las obligaciones y las necesidades que puedas tener en la protección de los datos personales de tu empresa AQUI.

Xavi Saula

Área Procesal Civil y Mercantil
Área Concursal
Nuevas Tecnologías
Gestión de impagados y Morosidad


Ir al contenido