En los últimos días todos los medios de prensa, televisión, radio y redes sociales, así como los boletines de comunicación corporativos, se han hecho eco del que, hasta ahora, parece ser el mayor ciberataque orquestado de manera simultánea a nivel mundial, tanto contra sistemas informáticos de importantes empresas multinacionales, como contra sistemas de entidades públicas de la envergadura, por ejemplo, del sistema de salud británico.
El virus utilizado para llevar a cabo tal ciberataque es el conocido como ransomware, el funcionamiento del cual consiste en el bloqueo, a través del cifrado, de los ficheros contenidos en el ordenador afectado, para posteriormente solicitar, a modo de rescate, una cantidad de dinero a cambio de devolver el acceso a los mismos a sus legítimos titulares. Pero además, la virulencia de este virus destaca y porque el mismo se propaga infectando al resto de ordenadores conectados a la misma red que el ordenador infectado inicialmente.
Más allá de sus particularidades, este ataque no puede verse como aislado o inusual, sino como uno de los muchos ataques que a diario sufren los sistemas operativos que afectan a todo tipo de entidades e instituciones. Ejemplo de ello son los 4.000 ataques de ransomware que, según la Comisión Europea, se han producido al día desde principios de 2016.
Cuando se producen dichos ataques, mientras que las autoridades y expertos en seguridad buscan el origen y el/los responsables de los mismos, las empresas afectadas se ven obligadas, se puede decir que por necesidad, a adoptar medidas tecnológicas y organizativas tendentes. Por un lado, a intentar frenar el ataque y, por otro lado, a revertir los posibles daños que sus sistemas operativos y ficheros infectados hayan podido sufrir.
Sin embargo, a partir de mayo del próximo 2018 no bastará con buscar el origen y culpable, evaluar los daños a los sistemas, ni adoptar medidas de reparación por necesidad en los sistemas informáticos afectados. Será entonces cuando el nuevo Reglamento General Europeo de Protección de Datos de carácter personal (RGPD) sea plenamente aplicable, y las compañías deberán tener ya implantadas las medidas necesarias para cumplir con las obligaciones que este impone de elaboración de políticas, procedimientos internos y procesos de gestión que permitan, no sólo afrontar posibles soluciones, sino también actuar de manera preventiva, todo ello bajo el principio de responsabilidad proactiva.
Del mismo modo, un ciberataque como el acaecido el pasado 12 de mayo, bajo el marco de la nueva normativa europea, deberá ser obligatoriamente notificado por las compañías afectadas a la autoridad de control en el plazo de 72 horas.
Así, si el mismo ciberataque ocurre en mayo de 2018, las compañías que han visto comprometidos los sistemas de información que alojan datos de carácter personal deberán notificar a la autoridad de control correspondiente -en España, la Agencia Española de Protección de Datos-. Cualquier violación de seguridad de datos personales que constituya un riesgo para los derechos y libertades de los afectados, notificación que, salvo que se hayan adoptado ciertas medidas de seguridad, deberá extenderse al propio afectado cuando la violación en cuestión entrañe un alto riesgo.
Consecuentemente, las empresas que sean objeto de tales violaciones se verán obligadas a poner en evidencia las deficiencias y debilidades de sus propios sistemas, y con ello se verán aumentadas las posibilidades de ser sancionadas en caso de que la autoridad de control correspondiente determine, a raíz de dicha notificación, que aquella no adoptó las medidas preventivas adecuadas.
Otra de las novedades que trae consigo el RGPD y vinculado a garantizar la seguridad de la información es la obligación de contratar únicamente a un proveedor tecnológico con acceso a datos de carácter personal que ofrezca garantías suficientes para cumplir con las medidas técnicas y organizativas apropiadas.
Todo ello, unido a la recomendación de uso de sistemas operativos y software legal, para tener acceso a versiones actualizadas de los mismos, pues únicamente estos ofrecen correctas actualizaciones o parches de seguridad, que permitan corregir a tiempo cualquier agujero de seguridad.