Un ayuntamiento de Londres ha sido reprendido por fallos de ciberseguridad que provocaron una filtración de datos que afectó al menos a 280.000 residentes. La Oficina del Comisionado de Información del Reino Unido (ICO) dijo que su investigación sobre el incidente de ransomware de 2020 destacó la falta de seguridad y procesos adecuados para proteger los datos personales en el distrito londinense de Hackney (LBoH). Esto incluyó no garantizar que se aplicara activamente un sistema de gestión de parches de seguridad a todos los dispositivos y no cambiar una contraseña insegura en una cuenta inactiva que todavía estaba conectada a los servidores del ayuntamiento de Hackney, lo que fue explotado por los atacantes. En el ataque de octubre de 2020, los actores de amenazas se infiltraron en los sistemas informáticos del LBoH y accedieron, cifraron y exfiltraron registros que contenían datos personales. Esto incluía información altamente sensible sobre el origen racial o étnico de los residentes, creencias religiosas, orientación sexual, datos de salud, datos económicos y datos de delitos penales. Además, en el ataque se accedió a información de identificación personal (PII), como nombres y direcciones, que se rastreó hasta el grupo de ransomware Pysa/Mespinoza. Se cree que los atacantes han extraído casi 10.000 registros, y la LBoH reconoce que existe un “riesgo significativo de daño” para 230 personas afectadas por los datos. El incidente también provocó una enorme interrupción de los servicios locales, incluidas las búsquedas de terrenos para transacciones inmobiliarias, los pagos de tasas comerciales e impuestos municipales y el desembolso de fondos de apoyo y reembolso de energía por COVID. Se informó de que la LBoH se vio obligada a gastar más de 12 millones de libras esterlinas (15,6 millones de dólares) en costes de recuperación como resultado del ataque. Stephen Bonner, Comisionado Adjunto de la ICO, comentó: “Este fue un error claro y evitable de la LBoH, que ha dado lugar a una pérdida masiva de datos y ha tenido un impacto gravemente perjudicial para muchos residentes”. “En el peor de los casos, esto ha significado que parte de la información más profundamente personal posible ha acabado en manos de los atacantes. Los sistemas en los que la gente confía estuvieron fuera de línea durante muchos meses. Esto es totalmente inaceptable y no debería haber sucedido”. Leer más: El Ayuntamiento de Leicester confirma que se filtraron documentos confidenciales en un ataque de ransomware En respuesta a la reprimenda, un portavoz del LBoH dijo que la autoridad impugnó la conclusión de la ICO de que incumplió sus obligaciones de ciberseguridad con los residentes. «Si bien acogemos con satisfacción que la ICO haya completado su investigación, sostenemos que el Ayuntamiento no ha incumplido sus obligaciones de seguridad. Consideramos que la ICO ha entendido mal los hechos y ha aplicado mal la ley con respecto a las cuestiones en cuestión, y ha caracterizado erróneamente y exagerado el riesgo para los datos de los residentes», dijo el portavoz. El LBoH añadió que no impugnará la decisión de la ICO, citando «recursos limitados». La ICO reveló que había considerado imponer una multa al LBoH por las fallas de seguridad, pero en su lugar optó por emitir una reprimenda de acuerdo con su política de minimizar las sanciones financieras a las organizaciones del sector público debido a su posible impacto negativo en los servicios públicos. Elogiaron la respuesta del Ayuntamiento de Hackney El regulador de protección de datos también elogió la respuesta del Ayuntamiento al incidente, que incluyó asegurarse de que todos los residentes fueran informados del ataque y de que se enviaran notificaciones en persona a aquellos considerados en riesgo significativo. También señaló que el LBoH se comunicó rápidamente con las autoridades pertinentes, como el Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional contra el Crimen (NCA). Además, la ICO reconoció que el Ayuntamiento ha implementado un modelo de seguridad de confianza cero y que, antes del incidente, había tratado de reemplazar su sistema de gestión de parches con un nuevo sistema de última generación para reducir las vulnerabilidades. El LBoH también fue elogiado por su buena estructura de gobernanza, sus planes de mejora y la capacitación y el desarrollo de la seguridad del personal. Bonner dijo: «Esto nos permite aprender de manera vital tanto para Hackney como para los ayuntamientos de todo el país: los sistemas deben actualizarse; hay que tomar medidas preventivas para reducir el riesgo y el impacto potencial del error humano y hay que asegurarse de que los datos que se le confían estén protegidos». Crédito de la imagen: cktravels.com / Shutterstock.com