WannaCry pone de manifiesto fallos de seguridad graves ante la llegada de GDPR
Si este incidente volviera a producirse en menos de un año, las empresas afectadas deberían hacer frente a sanciones punitivas. La entrada en vigor de GDPR genera entre las compañías la necesidad de reformar sus sistemas de seguridad.
Antes de dejar caer en el olvido a WannaCry, podemos aprender de las muchas lecciones que dejó este ataque sin precedentes: ¿por qué fue tan eficaz? ¿Qué soluciones y técnicas deben ponerse en práctica para evitar que se repita?
En primer lugar, no queda claro si relaciona un ataque de ransomware con GDPR. Después de todo, las firmas afectadas por WannaCry tenían los datos cifrados y no se robaron.
Repasemos con más atención GDPR
El artículo 4.12 establece: “[...] se entenderá por [...]violación de la seguridad de los datos personales[...] toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Los hackers responsables de WannaCry accedieron a los datos de los clientes ilícitamente y, seguramente, una vez cifrados, los destruyeron.
Encontramos algo similar en el artículo 5.1: «Los datos personales serán: [...] f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")».
Además, el artículo 32 declara que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas "apropiadas" para garantizar un nivel de seguridad adecuado al riesgo».
Y añade: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
WannaCry podría haberse evitado
¿Cómo ha afectado WannaCry a las empresas? No haber arreglado un fallo conocido del protocolo SMB (CVE-2017-0144) de Windows permitió que los responsables del ataque depositaran el malware destructor en el sistema infectado y cifraran los archivos de la empresa con 176 extensiones, entre ellas, las que utilizan Microsoft Office, las bases de datos, los archivos, los archivos multimedia y un gran número de lenguajes de programación. Y, por supuesto, entre esos archivos se encontraban los datos importantes de los clientes regulados por GDPR.
¿Qué significa esto para los legisladores? Para empezar, que todas las empresas que tratan con datos de clientes que se vieran afectadas por WannaCry podrían haber sido consideradas culpables por permitir el "tratamiento no autorizado o ilícito" de los datos regulados. De hecho, técnicamente, esas empresas sufrieron una violación de datos personales —incluso aunque no se robase ningún dato— por la pérdida de dichos datos o por su destrucción debido a un ataque de ransomware. Y lo que es aún peor: había disponible una actualización de seguridad de Microsoft varias semanas antes del incidente. Se puede pensar entonces que las empresas afectadas no han seguido el ritmo de la implementación de actualizaciones y no han adoptado las medidas de seguridad adecuadas a la vista de los riesgos evidentes, incluso disponiendo de un parche virtual que brindaba la opción de proteger los sistemas no corregidos y de controlar así los problemas de seguridad de las aplicaciones.
Invertir en un sistema de seguridad eficaz
Las organizaciones afectadas por este ataque pueden dar testimonio de su devastador impacto.
No obstante, si los hechos hubiesen acontecido un año más tarde, habrían sido perseguidas por la no conformidad con los principios de GDPR, y habrían recibido sanciones que podrían suponer el 4% de su volumen de negocio anual y hasta 20 millones de euros. También habrían estado obligadas a notificar la violación de los datos a las autoridades competentes cuanto antes y, a ser posible, en el plazo de las 72 horas posteriores al descubrimiento de la incidencia. Algo que, ya de por sí, habría tenido un impacto aún más negativo en su reputación y en los costes derivados de este ataque.
Si mayo de 2018 marca la cuenta atrás para la entrada en vigor de GDPR, el mensaje a difundir es bien simple: las mejores prácticas de seguridad han tenido éxito al proteger a las empresas frente a WannaCry y, a partir del 25 de mayo de 2018, seguirán ayudándolas a evitar las sanciones económicas directas de GDPR.
José de la Cruz, Director Técnico de Trend Micro para España y Portugal
