Tras los ciberataques de alto perfil contra el Hospital Clínic de Barcelona y el SEPE, las Administraciones públicas están «en el punto de mira de los grupos de ‘hackers’ y ciber delincuentes», según María Luisa González Tapia, asociada del departamento de tecnologías de la información de Ramón y Cajal Abogados. «No nos damos cuenta de la gravedad de estos ataques contra las infraestructuras de este tipo», dice.
Sin embargo, no todas las entidades públicas cumplen con los estándares del Esquema Nacional de Seguridad, que fija las referencias de las medidas de ciberseguridad que deben implementar.
Siguiendo la Ley Orgánica de Protección de Datos 3/2018, impone reglamentos tasados, a diferencia del Reglamento General de Protección de Datos (RGPD), que señala a tanto a administraciones públicas como a privadas que deben aplicar medidas de acuerdo a sus propios análisis de riesgos.
De hecho, la Agencia Española de Protección de Datos (AEPD) señala en su página a las Administraciones Públicas sancionadas por incumplimiento de medidas y por no responder a requerimientos, en lo que pecan principalmente las locales.
«La Agencia puede dictar una orden para que en un tiempo determinado se adecúe un tratamiento de datos personales a la legalidad, o incluso para pedir que se bloquee, limite o suspenda, de acuerdo con los poderes correctivos regulados en el artículo 58.2. del RGPD», reza la página.
Sin embargo, no hay sanciones económicas, como es costumbre en los casos de incumplimiento de las sanciones públicas.
Tapia González destaca que sería contraproducente, ya que estos suelen deberse a «una cuestión organizativa» como la falta de presupuesto, de formación o de medios humanos y técnicos. «Sería pasar el presupuesto de protección de datos de una administración pública a la Agencia», dice.
La obligación de publicar los registros de actividad, especificando los tipos de datos que se manejan, tratamientos, proveedores y operaciones, también pone en manos de la ciudadanía una herramienta de transparencia que, en palabras de González Tapia, puede hacer que «se lleven una sorpresa», como en las políticas de ‘cookies’.
Las posibles consecuencias
La mayoría de estos ataques buscan una brecha de seguridad para encriptar los datos de las víctimas, impidiéndoles el acceso, y pidiendo un rescate económico para desencriptarlo (una situación especialmente complicada si no existen copias), así como para no desvelar el ‘hackeo’ públicamente. González Tapia recuerda que los expertos recomiendan no pagar por no generar un efecto llamada al hacer ver que se trata de una estrategia efectiva, sino resolverlo «con medios propios».
Cabe recordar que la redistribución de datos de esta naturaleza también es un delito.
«Las empresas privadas podrían negociar, pero en lo público puede haber repercusiones en el servicio al ciudadano y generar inquietud en la población, es muy difícil de ocultar», dice, afirmando que observa un incremento en las brechas de seguridad desde la temporada de confinamiento derivada de la pandemia del Covid. «Creo que este tipo de ataques se repetirá».
El caso del Clínic, que ha llevado a la apertura de un expediente informativo por parte de la Autoridad Catalana de Protección de Datos (APDCAT), responde a la idea de los ciberataques complejos que dañan y paralizan el sistema, pero también la pérdida de un portátil del trabajo o de papeles importantes, o un correo enviado sin poner a todos los destinatarios en copia oculta también se considera una brecha de seguridad sancionable; aunque un error humano no sea tan llamativo, puede ser igual de peligroso.
Según González Tapia, el Clínic actuó bien al informar a la APDCAT y ser completamente transparente durante las investigaciones, lo cual llevó a la recuperación rápida de su actividad y la reprogramación de las diferentes operaciones y exámenes. Aun así, la APDCAT seguirá inspeccionando para averiguar si hubo un fallo previo con los requisitos mínimos, como con el cortafuegos y con el control y registro de acceso a los datos comprometidos.
La especialista apunta que no hubo muertos a causa de este ciberataque, se suspendieron alrededor de 150 cirugías no urgentes, 3.000 visitas a consultas externas y 500 analíticas, además de comprometerse los datos de profesionales, proveedores y pacientes, porque la motivación del grupo culpable era económico y, tal vez, el de alcanzar fama, pero recalca que «si sus intenciones hubieran sido las de un terrorista, habrían causado más daño que un bombardeo».
