El artículo de hoy responde a una noticia real, si bien el comunicado a los afectados que verán, más adelante, no es un comunicado oficial, sino un ejemplo de cómo comunicaría una brecha de seguridad a las personas afectadas.
Supuesto de hecho
Tres centros de atención primaria adscritos al Consorcio Sanitario Integral de Cataluña, así como dos centros de atención especializada y dos residencias, sufrieron un ciberataque el 7 de octubre de 2022. El ciberataque provocó la pérdida de acceso temporal a la información, viéndose comprometida la confidencialidad de los datos personales de los cientos de usuarios. El grupo de hackers Ransomexx reivindicó el ciberataque y filtró datos de pacientes (fuente aquí).
Ejemplo de comunicado a los afectados
El texto que verán, a continuación, es una propuesta personal de cómo comunicaría el ciberataque, frente comunicado oficial que pueden encontrar haciendo clic aquí, así como una actualización posterior, aquí.
Estimados usuarios:
Por la presente, venimos a comunicarles que varios centros de nuestra red de salud, concretamente, el Hospital Moisés Broggi de San Juan Despí, el Dos de Mayo de Barcelona, la Cruz Roja de Hospitalet de Llobregat, el CAP Sagrada Familia de Barcelona, el CAP Torrassa y el CAP Collblanc de Hospitalet de Llobregat, así como las residencias Collblanc y la Francisco Padilla, ambas en Hospitalet, y dos centros de atención especializada en Sant Feliu de Llobregat y en Cornellà, han sufrido, en las últimas setenta y dos horas, un ciberataque de ransomware. El grupo de piratas informáticos o hachers Ransomexx ha reivindicado el ciberataque.
En respuesta al incidente, de forma inmediata, iniciamos una investigación para determinar las causas y efectos provocados. Los trabajos de análisis forense se encuentran en curso y no permiten concluir aún el detalle exacto de la cantidad y categorías de datos sustraídos, si bien parece que el ciberataque ha afectado a datos de carácter identificativo: nombre y apellidos, número de documento nacional de identidad, domicilio, teléfono y correo electrónico. En algún caso, aún por determinar su número, han tenido acceso a historiales clínicos.
Tan pronto tuvimos conocimiento del ciberataque se pusieron en marcha las medidas de contención previstas en el plan de seguridad para detenerlo y reparar sus efectos. Al mismo tiempo, se comunicó el incidente a la autoridad de control y a la Agencia de Ciberseguridad competente. También se cursó denuncia ante la Brigada Central de Investigación Tecnológica de la Policía Nacional.
Recuperado el sistema informático, a través de las copias de seguridad que realizamos diariamente, como medida de precaución se han reemplazado todos los identificadores personales de acceso al sistema de información, se ha activado el plan de contingencia para mantener la actividad asistencial, se han desplegado cortafuegos y otras medidas de carácter técnico, que han dificultado el movimiento interno del atacante.
La razón de esta comunicación es informarles del incidente y, a su vez, alertarles para que, en las próximas fechas, estén atentos a las comunicaciones electrónicas y a cualquier actividad atípica relacionada con sus datos personales. En particular, les recomendamos:
1º.- Desconfíe de aquellos correos electrónicos y mensajes de telefonía móvil que no cuenten con una identificación clara del remitente. Es posible que le pidan información reservada como el número de su cuenta bancaria o tarjeta de crédito o las claves de acceso a determinados servicios, pudiendo suplantar la identidad de este centro.
2º.- Tenga especial cuidado con los enlaces y documentos adjuntos asociados a dichos correos electrónicos. No los descargue ni los abra. Directamente, bórrelos.
3º.- En caso de recibir algún tipo de amenaza o coacción, no dude en capturar el mensaje y presentar la correspondiente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Somos conscientes de la necesidad de información que demandan nuestros usuarios tras un incidente de seguridad. Por ello, será puntualmente informados acerca de cualquier novedad sobre el mismo a través de nuestra página web.
Atentamente,
Conclusión
Si el número de afectados fuera menor, la comunicación sería personalizada, por ejemplo, a través del correo electrónico. Cuando el número de afectados es elevado, se puede suplir con un comunicado en la página web del responsable del tratamiento, tratando de difundir el mismo por otros medios como prensa escrita, radio o televisión.
La idea de todo comunicado es infundir confianza en el usuario. Para ello es necesario actuar con celeridad, transparencia y honestidad.
Si quieren otro ejemplo de comunicado oficial bien elaborado, les dejo enlazado aquí el elaborado por la compañía L´Oréal, tras un ciberataque dirigido a los servidores de un proveedor de la compañía encargado de la gestión del pago de incentivos por ventas.