Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Las malas prácticas de ciberseguridad pueden suponer una responsabilidad penal personal para los directores ejecutivos
Joao Correia
26 de abril de 2023 - Evangelista técnico
"¿Cómo que tener una ciberseguridad deficiente puede llevarme a la cárcel?". ... es lo que probablemente pasó por la mente del ex director general de una clínica de psicoterapia en Finlandia. Esto es exactamente lo que decidió hacer un tribunal finlandés en esta situación, como consecuencia de las malas prácticas de ciberseguridad y la consiguiente violación, robo y distribución pública de grabaciones confidenciales de sesiones de pacientes. Realmente no es una buena estrategia ignorar los riesgos, y toda esta historia demuestra exactamente por qué.
Espera, ¿no era la empresa la víctima aquí?
En lo que podría percibirse a primera vista como una situación del tipo "culpar a la víctima del delito", hay algunos matices en toda esta situación que condujeron a este desenlace y hacen más justificable la pena de prisión resultante.
Sí, a primera vista, puede parecer que la empresa fue víctima de un ciberataque. Sin embargo, la decisión del tribunal de responsabilizar al ex director general va más allá de ese punto de vista simplista. Los detalles de este caso revelan varios factores clave que contribuyeron a los cargos y a la eventual sentencia de prisión suspendida.
En primer lugar, la empresa no cumplió los requisitos del GDPR relativos a la seudonimización y el cifrado de los datos de los pacientes. Este descuido dejó la información sensible de decenas de miles de pacientes expuesta a robos y accesos no autorizados. La base de datos del centro terapéutico almacenaba la información personal de los pacientes y las notas de las sesiones en lenguaje llano, sin ningún tipo de cifrado adecuado. En consecuencia, el atacante podía cotejar fácilmente las notas y los historiales médicos de los terapeutas con los datos personales de los pacientes.
Además, el tribunal consideró que las acciones del ex director general eran especialmente censurables debido a la magnitud de la violación de datos y a la naturaleza sensible de la información implicada. El tribunal consideró que la gravedad del delito justificaba una pena de prisión incondicional. Sin embargo, teniendo en cuenta los y otras circunstanciasel tribunal optó finalmente por una condena condicional.
Además, la investigación reveló que el director general y los responsables de TI conocían los problemas de seguridad, la violación de datos y las posteriores demandas de chantaje. En lugar de denunciar el incidente a las autoridades, el CEO ordenó ocultar cualquier prueba relacionada con las violaciones y los intentos de chantaje. Esta Esta omisión y el intento de encubrir los incidentes fueron factores significativos en la decisión del tribunal de responsabilizar al ex CEO. Aunque la condena del CEO fue la más relevante, no fue la única persona investigada por negligencia en esta situación, y otros altos ejecutivos de la empresa también fueron objeto de escrutinio por sus acciones, o la falta de ellas, a la hora de garantizar que se aplicaban las medidas de seguridad adecuadas.
Repercusiones del pirateo
El pirateo del centro de psicoterapia Vastaamo fue una violación masiva de datos con consecuencias de gran alcance tanto para las víctimas como para la empresa. Los atacantes consiguieron robar información muy sensible de decenas de miles de pacientes, incluidos historiales de pacientes, notas de sesiones de terapia, diarios, diagnósticos e información de contacto. Para empeorar las cosas, algunos de estos archivos se publicaron en la dark web, exponiendo al público la información más personal y confidencial de las víctimas.
El impacto en las víctimas fue devastador. Con su información confidencial en peligro, muchos pacientes se enfrentaron a posibles daños en su salud mental, sus relaciones personales y su vida profesional. En un intento de controlar los daños, los atacantes exigieron rescates tanto a la empresa como a pacientes y miembros del personal. Amenazaron con filtrar más información si no se cumplían sus exigencias. Sin embargo, la empresa y los afectados se negaron a pagar los rescates.
Además de las consecuencias personales para las víctimas, la filtración de datos tuvo graves repercusiones para Vastaamo como empresa. La exposición pública de la información confidencial y la incapacidad de la empresa para asegurar y proteger los datos provocaron una pérdida de confianza en la organización. Vastaamo, que había tratado a más de 30.000 pacientes y trabajaba como subcontratista para varios importantes distritos hospitalarios del sector público, se declaró en quiebra en febrero de 2021, pocos meses después de que saliera a la luz la filtración.
El hacker y sus actividades
El hacker(s) detrás de la violación de datos de Vastaamo demostraron un alto nivel de sofisticación en sus actividades. Consiguieron infiltrarse en los sistemas de la empresa y robar información confidencial de decenas de miles de pacientes. A medida que se desarrollaba la investigación, se reveló que el hacker apuntó a Vastaamo en dos violaciones de datos separadas en noviembre de 2018 y marzo de 2019. Sin embargo, debido a la brecha en el tiempo entre las brechas y los intentos de extorsión, es posible que los autores de cada delito no hayan sido los mismos.
Tras las filtraciones, los piratas informáticos recurrieron al chantaje, exigiendo rescates a la empresa y a pacientes y miembros del personal a título individual. Amenazaron con filtrar más información sensible si no se satisfacían sus demandas. A continuación, el atacante publicó algunos de los archivos robados en la dark web.
A medida que avanzaba la investigación, las autoridades descubrieron que la principal línea de investigación apuntaba fuera de Europa. También se ha producido una extradición de Francia a Finlandia que parece estar directamente relacionada con este incidente.
Responsabilidad civil
El ex director general de Vastaamo, Ville Tapio, asumió la responsabilidad personal por no cumplir los requisitos del RGPD relativos a la seudonimización y el cifrado de los datos de los pacientes. Este fallo en la protección de datos dejó vulnerable la información sensible y contribuyó directamente a la filtración de datos. Las acciones de Tapio (o la falta de ellas) desempeñaron un papel importante en la decisión del tribunal de considerarlo responsable del delito contra la protección de datos. Se ha informado de que era consciente de las lagunas en la ciberseguridad de la empresa desde dos años antes de los incidentes, y no actuó para colmarlas, por lo que no mantuvo la seguridad de la información confidencial de los clientes de la empresa.
Tapio fue destituido de su cargo de consejero delegado en otoño de 2020, tras la revelación de la filtración de datos. Su destitución de la dirección de la empresa demostró la gravedad de la situación y el impacto de sus malas prácticas de ciberseguridad. Posteriormente, Tapio fue acusado de delitos contra la protección de datos y llevado ante los tribunales.
Durante el juicio, el tribunal calificó las acciones de Tapio de especialmente reprobables debido a la magnitud de la infracción y a la naturaleza sensible de la información implicada. El tribunal consideró que la gravedad del delito justificaría una pena de prisión incondicional. Sin embargo, tras considerar el asunto en su conjunto y teniendo en cuenta los antecedentes penales de Tapio, el tribunal decidió imponerle una condena condicional de tres meses.
Aunque Tapio evitó la pena de cárcel efectiva, es importante señalar que no fue absuelto. La suspensión de la condena sigue siendo una sanción penal y tiene implicaciones significativas para su reputación personal y profesional. La condena puede obstaculizar su capacidad para conseguir un empleo en el futuro, especialmente en puestos de confianza o autoridad, y podría tener consecuencias duraderas en su vida personal.
Podría ocurrir en otro lugar
Como profesionales de la ciberseguridad, CISOs y profesionales de TI, este caso sirve como un duro recordatorio de que las malas prácticas de ciberseguridad pueden tener graves consecuencias, incluyendo cargos penales y posibles penas de prisión. Es crucial implantar y mantener medidas de seguridad sólidas, cumplir los requisitos normativos y notificar y abordar con prontitud cualquier incidente que pueda surgir. Ignorar los riesgos y no tomar las medidas adecuadas puede provocar no sólo un daño significativo a la reputación y la situación financiera de su empresa, sino también repercusiones legales personales. Por tanto, no espere a que sea demasiado tarde: invierta ahora en la ciberseguridad de su organización y proteja a sus clientes, a su empresa y a sí mismo.
