Desconcierto entre los pacientes del centro médico hackeado en Zaragoza: "No sabía nada"

El desconcierto reinaba este pasado jueves entre algunos de los pacientes del centro médico Palafox, en Zaragoza, tras la información de que la clínica había sufrido un hackeo que había expuesto algunos datos confidenciales, como facturas o informes y archivos médicos. A las puertas del centro, cuya sede está en El Caracol, dos personas razonaban que no conocían el caso. "Supongo que ahora nos comunicarán algo", decía uno de ellos. Otra, por su parte, también iba en esa misma línea al finalizar su cita: "No sabía nada".

Otra de las pacientes lamentaba que, a su juicio, había cierta "opacidad". "He preguntado y me han dicho que estaba todo en manos de la Policía y controlado, y que iban a notificarlo a los pacientes con un correo en las próximas horas", indicaba uno de los afectados, quien también describía su sentir como una "indefensión total" por culpa del ciberataque de los hackers.

Conviene recordar que el centro Palafox, como ha desvelado EL PERIÓDICO DE ARAGÓN, ha sido víctima en las últimas semanas de un ciberataque perpetrado por el grupo Dragonforce, uno de los más dañinos del mundo y especializado en el secuestro de información (Ransomware as a Service) para después extorsionar a sus víctimas, como ha sucedido con esta clínica privada zaragozana.

En su modus operandi destaca el hecho de que Dragonforce suele pasar a la acción y publicar en la dark web (la internet oscura) la información que logra sustraer como método de presión. Algo que hizo, al parecer, el pasado 27 de diciembre, como reivindicaron varias cuentas de hackers en sus redes sociales. Desde la empresa no han concretado más detalles.

"Lo que vale son los datos de los clientes"

"Los ciberataques a empresas que producen y almacenan datos biométricos son muy frecuentes porque son de los datos que más valen en el mercado negro", explica Rubén Vasile, director de comunicación de Aragón Privacidad, que añade: "Los datos de los empleados pueden valer, quizá, para extender el rango de ataque o saltar a otras empresas y servidores, pero lo que vale son los datos de los clientes".

En ese sentido, Vasile subraya que las empresas que sufren este tipo de ciberataques deben notificarlos "lo antes posible" a la Agencia Española de Protección de Datos. "En todo caso, dentro de las 72 horas desde que se tiene constancia", incide, y detalla que deben entregar "la naturaleza de la brecha de seguridad, las categorías y el volumen aproximado de datos y personas afectadas". Además, apostilla que también deben facilitarse "los datos de contacto del delegado de protección de datos, las consecuencias probables y las medidas adoptadas o previstas para contener la amenaza y mitigar el impacto".

Por último, también señala que, a nivel interno, debe "documentar el incidente y conservar las evidencias". "Si existe alto riesgo para los afectados, hay que comunicar la brecha a los clientes de forma clara y directa, indicando qué ha pasado, qué datos se han visto comprometidos y qué medidas se pueden tomar", concluye Vasile.

Suscríbete para seguir leyendo