¿De qué se trata?
El 9 de septiembre, la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) informó de una filtración de datos franceses relativos a millones de resultados de pruebas de COVID-19 en un servidor de Nueva Zelanda.
De hecho, la Assistance Publique-Hôpitaux de Paris (AP-HP) fue víctima de un ataque informático causado por una vulnerabilidad de su software.
En este contexto, se ha facilitado el acceso a datos personales y médicos, así como al tipo de prueba y su resultado. Además, también se ha facilitado la identidad y los datos de contacto del profesional sanitario que la ha realizado.
Se ha contactado con las personas afectadas para informarles de la situación, pero también para indicarles las medidas recomendadas para reaccionar ante ella.
Una semana después de los hechos, nueva información confirma que no se trata de un error humano ni del establecimiento, sino de una falla en el software explotada con fines maliciosos.
Esta brecha ha sido confirmada por la empresa estadounidense Hitachi Vantara, creadora del software HCP Anywhere, que utilizan los equipos de la AP-HP.
En un comunicado, Hitachi Vantara afirma haber recibido el 13 de septiembre la información sobre la sospecha de una brecha. Tras analizarla, se reveló « una serie de eventos complejos y discretos que podrían dar lugar a una vulnerabilidad si fueran explotados por un atacante malintencionado » (fuente: Numerama).
Al día siguiente, la organización pudo proporcionar un primer script para limitar el impacto causado por este ataque y los efectos de esta vulnerabilidad. Dos días después, se pudo enviar una actualización completa de este software a todos los clientes.
¿Puede volver a suceder?
La vulnerabilidad en cuestión se denomina vulnerabilidad de tipo 0-day. Estas vulnerabilidades son muy temidas en el ámbito de la seguridad informática, ya que afectan a debilidades que ya existían antes de la comercialización de un software, una aplicación o un producto. Son peligrosas porque aún no están documentadas. El diseñador del producto puede conocerlas o no. Algunos diseñadores, a pesar de conocer su existencia, deciden sacar el producto al mercado por motivos económicos o técnicos.
¿Se puede calificar esta falla como una negligencia por parte del diseñador? El enlace de acceso a los resultados debería haberse autodestruido unos días después de la consulta del paciente. También cabe preguntarse por el cifrado de los datos.
Para obtener más información, se están llevando a cabo varias investigaciones: una interna por parte de la AP-HP; otra por parte de la Comisión Nacional de Informática y Libertades (CNIL), y una última iniciada por la fiscalía de París.
¿Se sabe quién es el culpable?
Al parecer, el culpable es un estudiante de informática de Var, opuesto al pase sanitario, que justificó su acto como una operación militante. Su objetivo no era pedir un rescate ni sustraer esos datos, sino simplemente « demostrar la debilidad y la falibilidad del sistema informático de la AP-HP », precisa la AFP (fuente: Le Monde).
¿Cómo protegerse?
No se puede luchar contra un ataque a un sitio conocido como individuo. Sin embargo, podemos estar atentos a posibles amenazas como:
- Manipulación psicológica: estas alertas se envían para hacerle creer que ya es cliente de la organización mencionada, o para despertar su curiosidad y animarle a hacer clic.
- El smishing : actuando sobre sus teléfonos móviles a partir de SMS o llamadas telefónicas.
- Los diseños utilizados, algunas grandes marcas se reproducen, pero rara vez son idénticos y/o de calidad similar, preste atención a los detalles.
- El contenido del correo electrónico: si lo que se dice parece poco realista, una oferta desproporcionada, una ganancia injustificada, etc.
- No haga clic: cuando un enlace, un correo electrónico o un comentario le parezca extraño, es mejor no hacer clic.
- No obstante, si detecta que sus datos han sido pirateados, no dude en comunicarlo a la ANSSI y/o presentar una denuncia ante la CNIL o Cybermalveillance.gouv.
Avant de Cliquer también ofrece sensibilizar a su organización a través de nuestra solución.
La experiencia al alcance de la mano
