El artículo de hoy responde a una noticia real, si bien el comunicado a los afectados que verán, más adelante, no es un comunicado oficial, sino un ejemplo de cómo comunicaría una brecha de seguridad a las personas afectadas.
Supuesto de hecho
Tres centros de atención primaria adscritos al Consorcio Sanitario Integral de Cataluña, así como dos centros de atención especializada y dos residencias, sufrieron un ciberataque el 7 de octubre de 2022.
El ciberataque provocó la pérdida de acceso temporal a la información, viéndose comprometida la confidencialidad de los datos personales de cientos de usuarios. El grupo de hackers Ransomexx reivindicó el ciberataque y filtró datos de pacientes.
El texto que verán, a continuación, es una propuesta personal de cómo comunicaría el ciberataque.
Propuesta de comunicado a los afectados
Estimados usuarios:
Por la presente, les comunicamos que varios centros de nuestra red de salud –concretamente, el Hospital Moisès Broggi de San Juan Despí, el Dos de Maig de Barcelona, la Cruz Roja de L´Hospitalet de Llobregat, el CAP Sagrada Familia de Barcelona, el CAP Torrassa y el CAP Collblanc de L´Hospitalet de Llobregat, así como las residencias Collblanc y la Francisco Padilla, ambas en L´Hospitalet, y dos centros de atención especializada en Sant Feliu de Llobregat y en Cornellà, han sufrido— en las últimas setenta y dos horas, un ciberataque de ransomware. El grupo de piratas informáticos o hackers Ransomexx ha reivindicado el ciberataque.
Inmediatamente después de detectar el ciberataque, activamos una investigación exhaustiva para identificar sus causas y consecuencias. Los trabajos de análisis forense están en curso y aún no permiten concluir, con precisión, la cantidad y las categorías de datos sustraídos. No obstante, se ha confirmado que ciberataque ha comprometido datos de carácter identificativo: nombre y apellidos, número del documento acreditativo de identidad, domicilio, teléfono y correo electrónico. En algunos casos, aún por cuantificar, podría haberse accedido a historiales clínicos.
Tan pronto como tuvimos conocimiento del ciberataque, implementamos las medidas de contención previstas en nuestro plan de seguridad para detenerlo y mitigar sus efectos. Al mismo tiempo, se comunicó el incidente a la autoridad de control y a la Agencia de Ciberseguridad de Cataluña. También presentamos una denuncia ante la Brigada Central de Investigación Tecnológica de la Policía Nacional.
Recuperado el sistema informático, a través de las copias de seguridad que realizamos diariamente, como medida de precaución se han reemplazado todos los identificadores personales de acceso al sistema de información, se ha activado el plan de contingencia para mantener la actividad asistencial, se han desplegado cortafuegos y otras medidas de carácter técnico, que han dificultado el movimiento interno del atacante.
La razón de esta comunicación es informarles del incidente y, a su vez, alertarles para que, en las próximas fechas, permanezcan atentos a las comunicaciones electrónicas y a cualquier actividad atípica relacionada con sus datos personales. En particular, les recomendamos:
1º.- Desconfíen de aquellos correos electrónicos y mensajes de telefonía móvil que no cuenten con una identificación clara del remitente. Es posible que le pidan información reservada como el número de su cuenta bancaria o tarjeta de crédito o las claves de acceso a determinados servicios, pudiendo suplantar la identidad de este centro.
2º.- Tengan especial cuidado con los enlaces y documentos adjuntos asociados a dichos correos electrónicos. No los descargue ni los abra. Directamente, bórrenlos.
3º.- En caso de recibir algún tipo de amenaza o coacción, no duden en capturar el mensaje y presentar la correspondiente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Somos conscientes de la necesidad de información que demandan nuestros usuarios tras un incidente de seguridad. Por ello, será puntualmente informados acerca de cualquier novedad sobre el mismo a través de nuestra página web y canales oficiales.
Atentamente,
Si desean otro ejemplo de comunicado oficial bien elaborado, les dejo enlazado aquí el comunicado de la compañía L’Oréal, tras un ciberataque dirigido a los servidores de un proveedor responsable de la gestión de pagos de incentivos por ventas.
Conclusión
Si el número de afectados fuera menor, la comunicación sería personalizada, por ejemplo, a través del correo electrónico. Cuando el número de afectados es elevado, se puede suplir con un comunicado en la página web del responsable del tratamiento, tratando de difundir el mismo por otros medios como prensa escrita, radio o televisión.
La idea de todo comunicado es infundir confianza en el usuario. Para ello es necesario actuar con celeridad, transparencia y honestidad.
