La noticia tiene un titular de impacto, en toda la prensa especializada o no, ha aparecido en las ultimas horas.
La gravedad del titular hace que adquiera una magnitud proporcional al despliegue que supuestamente han realizado los ciberatacadores.
Y digo supuestamente por que si os fijais con detalle, en la noticia, no se citan casos concretos, tratan el asunto de forma generalizada. Y esto ya empieza a preocupar. Empieza a preocupar que cuando quieres ver informacion fiable relativa a perdidas de datos unicamente se publican de forma razonable y concreta en la pagina web de la Agencia Española de Proteccion de Datos. No me refiero a la forma empleada por el periodista si no a la noticia propiamente: los ciberdelincuentes estan entrando en las organizaciones de pequeño y mediano tamaño (cuales?, quien son? de que sectores?, de que poblaciones? datos concretos?).
Esta parece una noticia elaborada a partir de un estudio realizado y cuyo objetivo sea una divulgacion, una informacion acerca de un hecho generalizado que a futuro pueda ser que nos afecte. En ningun momento cita nombres de entidades afectadas, ni de colectivos de usuarios afectados. Ni un solo nombre de referencia. No hay posibilidad de analisis de perdida de confianza hacia empresas publicas o privadas.
Preocupa que cuando se refieren a ataques ciberneticos, en la mayoria de noticias, se refieren a situaciones sufridas en USA por empresas de USA y por usuarios de USA, preocupan por que nunca o casi nunca hacen referencia a ataques sufridos por empresas de aqui a pesar de que existen, aunque quizas no se notifican a su debido tiempo o cuando se notifican no generan impacto. Muchas no se notifican publicamente por verguenza.
El caso del Hospital Clinic y su perdida de documentos conteniendo datos de usuarios es trascendente, en la medida que el personal no siguio un protocolo en la destruccion de documentos, la cuestion es si este protocolo existe, muchos sabemos que si existe no se cumple habitualmente en forma y fondo, basicamente por que no se ha proporcionado formacion o no se ha proporcionado toda la informacion correcta a los usuarios / empleados en el tratamiento de los datos, en el objeto del tratamiento y en la forma de actuar. Y principalmente por que la Direccion no ha realizado correctamente la tarea y no ha asumido la responsabilidad que debe asumir y que, legalmente, sobre ella recae, a menudo tambien por desconcimiento en el manejo de los datos.
El caso del Clinic seria una muestra de como no deben hacerse las cosas si la organizacion hubiese recibido una sancion por la negligencia en la accion realizada, por desconocimiento de la normativa y por no aplicacion de la Ley Organica de Proteccion de Datos Personales, que afecta a datos de nivel alto. Contra todo pronostico, aparece la Agencia Catalana de Proteccio de Dades diciendo que no seran sancionados economicamente y aqui se da por cerrada la noticia.
Si trasladamos la misma negligencia que ha cometido el Clinic en sus procedimientos, a la empresa privada, a un laboratorio de analisis, por poner un ejemplo del mismo tipo de datos: nivel alto, hubiese sido sancionada añadiendo que la responsabilidad recaeria sobre el responsable del fichero, en la mayoria de empresas la Direccion, la cual a su vez deberia responder legalmente ante cualquier reclamacion realizada por los usuarios afectados en la perdida de documentos. La gravedad de la magnitud del problema, cada cual que la evalue y analice si el impacto de la falta de responsabilidad cometida por el Clinic, debe o no ser objeto de sancion, aunque se ampare en una legalidad que hace que no tenga consecuencias mas graves.
Los ciberdelincuentes están entrando en las organizaciones de pequeño y mediano tamaño cada semana para robar millones de dólares en una continua estafa que ya ha conseguido recaudar alrededor de 100 millones de dólares de cuentas bancarias estadounidenses, según ha advertido el FBI.
Se trata de uno de los principales problemas que ocupan en la actualidad a la organización National Cyber Forensics and Training Alliance (NCFTA) de Estados Unidos, que trabaja con el FBI y la industria para compartir información sobre ciberataques, de acuerdo con las declaraciones del director ejecutivo de la alianza, Ron Plesco. “Cada año parece producirse una tendencia diferente, y esta ha sido la de 2009”, asegura.
De hecho, según el FBI se ha detectado un “aumento significativo” en lo que se conoce como fraude ACH (Automated ClearingHouse) durante los últimos meses, la mayor parte de él dirigido contra pequeños negocios, gobiernos municipales y escuelas.
Los delincuentes pueden llegar a retirar en ocasiones miles e incluso millones de dólares rápidamente de las cuentas de sus víctimas mediante estos ataques, utilizando para ello online banking y añadiendo nuevos beneficiarios a las cuentas bancarias con el fin de sacar luego fondos de la noche a la mañana.
Generalmente el primer paso es el envío de un correo electrónico al director financiero o responsable de cuentas de la compañía que incluye archivos adjuntos maliciosos diseñados para simular parches de software de Microsoft, o, simplemente, enlaces a sitios web maliciosos. El objetivo es descargar software de keylogging sobre el ordenador del usuario con acceso a la banca online y después robar sus credenciales de acceso a los sistemas.
Una vez los atacantes disponen de acceso a la cuenta bancaria, generan transferencias ACH a las conocidas como “money mules” (mulas de dinero), generalmente víctimas inocentes que creen estar procesando nóminas para compañías internacionales y que después transfieren el dinero a otros países mediante servicios como Western Union o Moneygram.
En un caso, los atacantes han llegado a lanzar un ataque DoS contra un procesador ACH para impedir que el banco pudiera recuperar las transferencias antes de que las “money mules” las reenviaran fuera del país. Una vez el dinero se encuentra en el extranjero, el objetivo se considera conseguido.
