La Oficina del Comisionado de Información del Reino Unido (ICO) ha impuesto una multa de casi 4,5 millones de euros a Advanced Computer Software Group Ltd debido a un ataque de ransomware en 2022 que expuso datos sensibles de 79.404 personas, incluidos pacientes del Servicio Nacional de Salud (NHS).
Detalles del Incidente ⚠️
El ciberataque fue revelado a principios de agosto de 2022, cuando varios servicios del NHS incluidos los servicios de emergencia 111, sufrieron caídas significativas.
Esto apuntaba a una brecha en el proveedor de servicios gestionados británico Advanced.
Esta empresa suministra al NHS diversos productos de gestión de pacientes y relacionados con la salud, tales como Adastra, Caresys, Carenotes, Odyssey, Crosscare, Staffplan y eFinancials.
Aunque la empresa no compartió muchos detalles sobre el grupo de ransomware responsable, en los días siguientes se supo que la recuperación tomaría tiempo, a pesar de la ayuda de expertos de Mandiant y Microsoft.
Más tarde se descubrió que el grupo LockBit fue el responsable del ataque, utilizando credenciales comprometidas para establecer una sesión de protocolo de escritorio remoto (RDP) en un servidor Citrix de Staffplan y luego moviéndose lateralmente dentro del entorno de la organización.
Medidas de Seguridad Inadecuadas
Hoy, la ICO ha anunciado una multa de casi 4,5 millones de euros como penalización por la falta de medidas adecuadas para proteger los datos sensibles y los sistemas contra los hackers.
La entidad subraya la falta de seguridad en la que incurrió Advanced, destacando principalmente tres omisiones:
- Escaneo de vulnerabilidades deficiente
- Manejo inadecuado de parches
- Falta de cobertura universal de autenticación multifactor (MFA)
El Comisionado de Información, John Edwards, declaró: “Las medidas de seguridad de la subsidiaria de Advanced fueron gravemente insuficientes para una organización que maneja un volumen tan grande de información sensible.”
Aunque Advanced había implementado autenticación multifactor en muchos de sus sistemas, la falta de cobertura completa permitió que los hackers pudieran acceder a sistemas clave, exponiendo los datos personales de miles de personas.
Conclusión
Este ataque subraya la importancia de implementar medidas de seguridad robustas y de seguir mejores prácticas, como la autenticación multifactor y un manejo adecuado de vulnerabilidades.
La multa refleja una tendencia creciente de regulación en torno a la protección de datos y el cumplimiento de normativas de seguridad en sectores sensibles, como el de la salud.