El ransomware se define como un código malicioso diseñado con la finalidad de cifrar los archivos de un dispositivo, de tal forma que estos no puedan ser utilizados por el usuario. Tradicionalmente, los actores piden un rescate a cambio de descifrar los archivos que fueron secuestrados y ante la negativa, en algunas ocasiones la información comprometida ha sido publicada en Internet.
Como puede observarse este tipo de ataques pueden afectar la disponibilidad, integridad y confidencialidad de la información, incluyendo los datos personales que una organización trate, por ello es importante definir o incluir en la estrategia de seguridad y protección de datos personales controles que eviten que este tipo de ataques se para materialicen.
La Cybersecurity & Infrastructure Security Agency (CISA) publicó recientemente el documento titulado “Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches” , que brinda una descripción general del ransomware, comparte medidas preventivas que las organizaciones pueden adoptar para evitar ser víctimas de estos ataques y brinda un conjunto de recomendaciones para proteger la información personal y sensible. Adicionalmente incluye al final del documento recursos adicionales que pueden reforzar la estrategia de protección anti-ransomware que la organización decida adoptar.
Adicionalmente el Centro Criptológico Nacional de España (CCN-CERT), en abril de 2021 publicó la guía Gestión de incidentes de ransomware, documento que presenta las diferentes etapas que deberán ser consideradas para la gestión de un incidente de este tipo, este documento puede ser considerado por las organizaciones para contar con una gestión técnica efectiva y eficaz ante este tipo de ataques. El documento considera 5 líneas de actuación, que incluyen: la contención, la detección, la mitigación de la amenaza, la recuperación de la información y servicios y la prevención.
Es de suma importancia, que cuando una organización ha sufrido un ataque de ransomware y se determine que se ha comprometido información personal, cumplir con las obligaciones que establece el marco legal en materia de protección de datos personales ante una vulneración de datos personales, de los más importantes es realizar la notificación a los titulares afectados y/o a la autoridad en materia de datos personales correspondiente.
¿Tú organización esta preparada ante este tipo de ataque?
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.