Qué hacer si sufres un hackeo y tus datos aparecen en internet: "Lo importante es comprobar qué derechos y libertades se ven afectados"
Las víctimas, si manejan información de terceros, están obligadas a acudir a la Agencia Española de Protección de Datos en menos de 72 horas
Personas trabajando en ciberseguridad, en una imagen de archivo. / Activos
El hackeo al centro médico privado Palafox de Zaragoza, perpetrado por el grupo Dragonforce, ha vuelto a poner en liza el problema cada vez más acuciante de la ciberseguridad. En un momento en el que este tipo de organizaciones siguen proliferando (operan decenas en todo el mundo, en distintos estilos) y que, además, están comenzando a aprovechar la IA para perfeccionar sus métodos, saber estar protegido ante estos ataques y, sobre todo, cómo responder una vez se han sufrido, se antoja clave para minimizar los daños. Sin ir más lejos, el propio Gobierno de Aragón recibió más de 200 ciberataques al día en 2024.
En el caso de los datos sustraídos por Dragonforce de la clínica zaragozana, que afectan tanto al funcionamiento interno de la empresa como a la confidencialidad de sus clientes, una de las principales cuestiones que sobrevuela es qué hacer una vez se publica la información, habitualmente en la Dark Web. "Lo primero es hacer una recapitulación de qué ha ocurrido. Es decir, determinar si era inevitable o si se ha producido el robo digital por un fallo humano", explica Fernando Andreu, presidente de Aragón Privacidad, asociación especializada en el cumplimiento normativo de la protección de datos en la comunidad autónoma.
Para Andreu, "lo importante es valorar qué información se ha visto comprometida y así ver qué derechos y libertades de los ciudadanos se ven afectados". En ese sentido, el presidente de la asociación subraya que "la víctima tiene la obligación legal de comunicar a la Agencia Española de Protección de Datos (AEPD) la brecha de seguridad junto a la denuncia policial correspondiente". E, inmediatamente después, dirigirse a los afectados, que en este caso serían los pacientes: "Hay que notificar lo que ha pasado y qué consecuencias puede tener a todos los afectados, que luego pueden acudir de forma independiente a la AEPD".
Conviene resaltar que existen unos plazos marcados por la ley que hacen que la notificación a las autoridades debe llegar en las primeras 72 horas tras lo ocurrido, ya que de lo contrario la víctima del ataque podría exponerse a sanciones. "La comunicación es proactiva, pero no exime de responsabilidad, que eso lo debe determinar la agencia", matiza Andreu, en referencia a que cualquier entidad que maneje datos de terceros, máxime si son sensibles, debe tener los protocolos de ciberseguridad al día.
"El daño puede ser sancionable si se demuestra que no tenías las medidas actualizadas, no tenías una copia de seguridad, etc.", añade, aunque reconoce que los usuarios que se ven afectados, una vez se ha publicado su información, tienen "poco que hacer". Por su parte, la empresa u organización ciberatacada debe "reforzar la seguridad, sobre todo el flanco por el que ha sido atacada".
Prevención
Y es que, en estos casos, la prevención puede jugar un papel fundamental. Los expertos en la materia reconocen que no existe una "protección absoluta", aunque sí señalan algunas "medidas fundamentales que reducen de forma significativa el riesgo". La primera, el "refuerzo de los accesos a sistemas críticos, especialmente VPN y escritorios remotos, mediante autenticación multifactor". Es decir, pedir más de una prueba para demostrar que es el usuario real quien intenta acceder.
Navegación en una base de datos atacada por hackers, en una imagen de archivo. / Sascha Steinbhach / EFE
Los expertos también recomiendan evitar la "exposición directa" de los escritorios remotos a internet, que debe hacerse o bien limitando su acceso o bien con soluciones intermedias seguras. También apuntan a una revisión periódica de las cuentas de cada usuario, eliminando accesos innecesarios o cuentas inactivas. O, en el caso de las empresas, borrando los usuarios de antiguos empleados.
Los correos electrónicos son otro filón para los ciberdelincuentes, por lo que aquí el consejo pasa por dotarlos de una protección "avanzada", con filtros y bloqueo automático de archivos que sean detectados como "potencialmente peligrosos". No en vano, los expertos también inciden en la necesidad de formar y concienciar al personal de las empresas, para que los propios trabajadores estén capacitados para detectar una posible estafa. Y, por último, también se considera recomendable generar copias de seguridad periódicas y aisladas, para así poder recuperar la actividad y la información sustraída sin depender de los atacantes.
Suscríbete para seguir leyendo
- El Ayuntamiento de Zaragoza lo confirma y accede a la petición de los barrios sobre la ubicación de la Cincomarzada
- ¿Cómo afecta a los aragoneses el hackeo a Endesa?: la empresa notifica el ataque a los afectados
- Adiós al histórico concesionario de la Opel en Zaragoza: a un paso de su demolición
- De los billetes a las tapas: un antiguo banco se transforma en un nuevo restaurante en el centro de Zaragoza
- Nueva inversión china en Zaragoza: un proveedor de Leapmotor invertirá 24 millones y devolverá la actividad a la antigua planta de Airtex
- Comienza el desmontaje de una de las antenas de telecomunicaciones más antiguas del centro de Zaragoza
- Samantha Vallejo-Nágera sorprende con su visita a un restaurante de barrio de Zaragoza tras su salida de Masterchef: 'Una leyenda de la gastronomía
- De una planta de hidrógeno con 80 millones de euros a un aparcamiento en Tamarite: el Gobierno de Aragón declara de interés cuatro nuevas inversiones
