El pasado miércoles nos levantamos con un hecho histórico, por primera vez en la historia se podría relacionar el fallecimiento de una persona con el ataque de un ransomware. El hecho es el siguiente, la semana pasada el Hospital Universitario de Dusseldorf sufrió el ataque de un ransomware, es decir un tipo de malware que toma el control del equipo bloqueando o cifrando la información del usuario, que obligó a reducir en casi la mitad el servicio de urgencias de dicho hospital, siendo ésta la razón por la que una mujer que en ese momento necesitaba de atención médica no pudo ser atendida y derivada a un centro hospitalario a 30 km, falleciendo durante el transcurso del ataque, se presume, por no haber recibido el tratamiento en el momento oportuno. La razón para el cierre parcial del servicio de urgencias: el ransomware encriptó 30 servidores del hospital, aunque según se ha conocido posteriormente el hospital no era el objetivo sino la Universidad de Dusseldorf.

Desde el punto de vista de la seguridad de la información, este amargo acontecimiento se podría haber evitado. El cómo está claro, si tanto la universidad objetivo como el hospital víctima del ataque hubieran tenido implementadas las medidas de seguridad adecuadas y haber contado con los procedimientos reactivos y paliativos de emergencia que hoy en día conocemos, probablemente, podría el ataque podría haber causado un menor impacto. Así este evento nos pone en alerta, es necesario defenderse y formarse.

Esta necesidad no es nueva; ya está recogida como una obligación del responsable en el Reglamento General de Protección de Datos. En dicho texto legal, se nos dice que, atendiendo, entre otras cuestiones, al estado de la técnica, las características de los tratamientos, y la probabilidad e impacto de los riesgos para las personas, se deberán de aplicar las medidas necesarias para garantizar un nivel adecuado de seguridad.

En este sentido, entre otras medidas, se pueden implementar protocolos de actuación frente a incidentes de seguridad, que permitan por un lado la desconexión inmediata de internet de las intranets, y el aislamiento de los equipos infectados, y por otro un procedimiento de notificación a las autoridades competentes, en España disponemos del INCIBE, la AEPD, y la GDT de la Guardia Civil. También, como medidas preventivas es interesante la implementación de sistemas de cortafuegos robustos, accesos por VPN capados en torno a una whitelist, y otros. Sin embargo, estas medidas pueden ser inútiles si no se lucha contra el desconocimiento y la falta de formación en seguridad informática básica. Para ello, lo más efectivo es la educación y entrenamiento de los equipos de forma continuada. No obstante deberíamos plantearnos formar desde edades tempranas, no sólo en ciberseguridad, sino también en la protección de datos, intimidad y otros derechos al usar Internet y otras herramientas.