Filtración de datos a raíz de una vulnerabilidad explotada en un software

¿Qué ha ocurrido?

Recibimos en la Línea de Ayuda en Ciberseguridad, a través del canal telefónico, la consulta de un usuario que trabaja en una empresa de desarrollo de software para clínicas. 

Nos contó que a raíz de una vulnerabilidad que había tenido su producto y que ha sido explotada, los ciberdelincuentes tuvieron acceso a los datos almacenados en la aplicación, y habían conseguido información sobre los clientes de varias clínicas que utilizan su producto. 

Entre otros datos, habían obtenido las direcciones de correo electrónico de las clínicas y, a su vez, de los clientes de las mismas, los cuales estaban siendo utilizados por los ciberdelincuentes para enviar correos de extorsión en los que amenazan con publicar o vender la información a través de la Deep Web y Dark Web. 

Además de esto, nuestro usuario, notablemente preocupado, nos informa de que ya hay información filtrada en Internet, y los clientes de las clínicas están acudiendo a las mismas para solventar el problema. 

Los clientes piensan que se han podido obtener datos bancarios, pero el usuario nos ha asegurado que no se guarda este tipo de información y que los datos almacenados no son de carácter sensible.

Debido al incidente, nos trasladó su preocupación por los daños que habrían podido ocasionar a sus clientes a través de la estafa, y por consiguiente, a su imagen como empresa. Decidió contactar con nosotros para informarse sobre qué puede hacer para solucionarlo y minimizar el impacto.

¿Qué pautas le hemos dado?

Al haber sido una consulta por llamada, pudimos comprender y transmitir al usuario, pautas de suma importancia tanto para la empresa como para las clínicas, las cuales posteriormente podrían seguir para avisar y orientar a sus clientes.

• Si aún no se ha realizado, investigar en profundidad la vulnerabilidad explotada del sistema, para parchearla lo antes posible. 
• Posteriormente, implementar las medidas adecuadas al incidente y desplegar las nuevas versiones del software en las clínicas para evitar que vuelvan a explotarla.
• Respecto a los correos fraudulentos, le indicamos la posibilidad de reportar las evidencias y los correos de extorsión (tanto los recibidos por las clínicas afectadas, como los de sus clientes), junto con sus cabeceras originales para que puedan ser analizados por parte de nuestro equipo de INCIBE-CERT. 
• Recopilar todas las pruebas y evidencias y efectuar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Por otra parte, como consecuencia de la brecha de seguridad, le facilitamos el contacto de la Agencia Española de Protección de Datos, para que el responsable de tratamiento de datos notificara del incidente.
• Le sugerimos enviar un comunicado a sus clientes, alertando de lo sucedido para su conocimiento e indicando qué datos han sido comprometidos, junto con las siguientes recomendaciones: 
  • Cambiar las contraseñas de acceso al software y establecer el doble factor de autenticación si es posible. 
  • Comunicar, a su vez, lo sucedido a sus clientes para que se mantengan alerta y proporcionarles información sobre cómo actuar ante una filtración de datos.
  • Facilitar información sobre el servicio Tu Ayuda en Ciberseguridad para que puedan contactarnos por si tuvieran dudas sobre las pautas a seguir.
• Con el objetivo de evitar futuros incidentes, le recordamos la importancia de mantener los sistemas actualizados en cada una de las estaciones de trabajo.
• También le recomendamos acudir a un abogado. Finalmente le explicamos que, en caso de que la información fuese vendida a empresas de la competencia podrían estar amparados por la Ley de Competencia Desleal.
• Además, le facilitamos el Catálogo de Empresas de Ciberseguridad de INCIBE, por si necesitan ayuda especializada.

Para finalizar, le recordamos que tanto la empresa como sus clientes, pueden contactar con el servicio Tu Ayuda en Ciberseguridad de INCIBE para resolver cualquier duda siempre que lo necesiten.