La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) ha reprendido enérgicamente al distrito londinense de Hackney por una serie de fallos que llevaron a un devastador ataque de ransomware en octubre de 2020. La banda de ransomware Pysa encriptó un total de aproximadamente 440.000 archivos que afectaron a 280.000 residentes de Hackney en el este de Londres, después de que explotaran servidores y sistemas antiguos locales para acceder a la infraestructura de TI del Ayuntamiento. La investigación de la ICO encontró ejemplos de una clara falta de políticas de seguridad adecuadas en el Ayuntamiento de Hackney. Entre otras cosas, el regulador dijo que no había garantizado que se aplicaran activamente los procedimientos adecuados de gestión de parches a todos los dispositivos, ni había cambiado una contraseña insegura en una cuenta de usuario inactiva que estaba conectada a los servidores del Ayuntamiento, que fue explotada por los ciberdelincuentes. Entre los servicios gravemente afectados estaban las operaciones de servicios de vivienda de Hackey, ya que los inquilinos no pudieron realizar pagos, registrar reparaciones, aprobar solicitudes de vivienda o solicitar el beneficio de vivienda o su plan de reducción de impuestos municipales. Los residentes del distrito tampoco pudieron realizar pagos en línea de impuestos municipales y tasas comerciales durante un tiempo. Los ciberdelincuentes atacaron cuando el Reino Unido se tambaleaba al borde de una importante oleada de Covid-19 que hundiría al país nuevamente en una serie de confinamientos y cancelaría efectivamente la Navidad. Esto muy probablemente aumentó el impacto final en los residentes. Los servicios normales no se restablecieron por completo hasta 2022. «Este fue un error claro y evitable del distrito londinense de Hackney, que resultó en una pérdida masiva de datos y tuvo un impacto gravemente perjudicial en muchos residentes. En el peor de los casos, esto ha significado que parte de la información más profundamente personal posible terminó en manos de los atacantes. Los sistemas en los que la gente confía estuvieron fuera de línea durante muchos meses. Esto es completamente inaceptable y no debería haber sucedido «, dijo el comisionado adjunto de la ICO, Stephen Bonner. «Si bien siempre pueden existir actores nefastos, el consejo no implementó de manera efectiva medidas suficientes que podrían haber protegido mejor sus sistemas y datos de los ciberataques. Cualquier persona responsable de proteger los datos personales no debe cometer errores simples como tener cuentas inactivas donde el nombre de usuario y la contraseña son los mismos. Una y otra vez, vemos infracciones que no habrían ocurrido si se hubieran evitado tales errores». «Este fue un ataque deplorable por parte de ciberdelincuentes sofisticados y organizados, que se produjo en un momento en el que estábamos respondiendo a la primera ola de la pandemia de Covid», dijo la alcaldesa de Hackney, Caroline Woodley. «Lamentamos profundamente el impacto que este ataque criminal sin sentido tuvo en los residentes y las empresas de Hackney, y estoy agradecida al personal del consejo que continuó brindando servicios a nuestras comunidades a pesar de los desafíos, y a nuestros residentes por su paciencia mientras los servicios se vieron afectados». Datos de categoría especial Durante el curso de su investigación, la ICO dijo que encontró que la información cifrada incluía información sobre datos de categoría protegida según el RGPD del Reino Unido, incluida información sobre antecedentes raciales y étnicos, creencias religiosas, orientación sexual, datos de salud, datos económicos, datos de delitos penales y nombres y direcciones. Posteriormente, la banda de Pysa filtró algunos datos del Ayuntamiento, entre ellos información de identificación personal (PII), como datos de pasaportes, escaneos de documentos de auditoría de alquileres, datos del personal e información sobre seguridad de la comunidad. La ICO afirmó que se filtraron un total de 9.605 registros y que esto supuso un riesgo significativo de daño para 230 personas. «Si queremos que la gente confíe en las autoridades locales, deben confiar en que las autoridades locales cuidarán sus datos adecuadamente. Los residentes de Hackney han aprendido por las malas las consecuencias de estos errores: los ayuntamientos de todo el país deben actuar ahora para garantizar que aquellos de quienes son responsables no sufran el mismo destino», dijo Bonner. Acción rápida e integral En su sentencia, la ICO dijo que el Ayuntamiento de Hackney había hecho algunas cosas bien: tomó «acciones rápidas e integrales» para mitigar el ataque tan pronto como quedó claro lo que estaba sucediendo, dijo Bonner, y se relacionó positivamente con organismos como el Centro Nacional de Seguridad Cibernética (NCSC), la Agencia Nacional contra el Crimen (NCA) y la fuerza de Policía Metropolitana de Londres. La ICO también elogió al Ayuntamiento de Hackney por interactuar eficazmente con los residentes y mantener informados a los considerados en riesgo significativo en todo momento. También reconoció que el Ayuntamiento había sido consciente hasta cierto punto de las vulnerabilidades principales que llevaron al ataque de ransomware y había estado en camino de mejorar sus políticas de gestión de parches con un nuevo sistema. La ICO elogió además las estructuras generales de gobernanza del Consejo, las políticas, los planes de mejora, la formación y el desarrollo del personal tras el ataque, y la introducción de una nueva política de seguridad de confianza cero. Al emitir su reprimenda, en lugar de una multa, la ICO también destacó el impacto que había tenido el Covid-19 en los recursos de las autoridades locales en el momento del ataque. «Hay un aprendizaje vital de esto tanto para Hackney como para los ayuntamientos de todo el país», dijo Bonner. «Los sistemas deben actualizarse; hay que tomar medidas preventivas para reducir el riesgo y el impacto potencial del error humano y hay que asegurarse de que los datos que se le confían estén protegidos». El Ayuntamiento de Hackney cuestiona las conclusiones Sin embargo, a raíz de la sentencia de la ICO, tanto Woodley como el Ayuntamiento de Hackney contraatacaron, diciendo que cuestionaban una serie de conclusiones del regulador. Dijeron que sostenían que el Ayuntamiento no había incumplido sus obligaciones de seguridad y acusaron a la ICO de malinterpretar los hechos y aplicar mal la ley, así como de caracterizar erróneamente y exagerar el riesgo para los datos de los residentes. Un portavoz del Ayuntamiento afirmó: “Sin embargo, no creemos que sea del interés de nuestros residentes utilizar nuestros limitados recursos para impugnar la decisión de la ICO. En cambio, seguiremos trabajando estrechamente con el Centro Nacional de Seguridad Cibernética, el Gobierno central y colegas de todo el gobierno local y el sector público en general para desempeñar nuestro papel en la defensa de los servicios públicos contra las amenazas cada vez mayores de los ciberataques y para ayudar a garantizar la seguridad y el bienestar de nuestros residentes. “Los sistemas informáticos modernos son extremadamente complejos y las ciberamenazas siguen creciendo. Desde 2020, organizaciones de todos los tamaños del sector público y privado han sido víctimas de delincuentes que implementan modos de ciberataque cada vez más complejos y sofisticados. Para hacer frente a esta amenaza que cambia rápidamente, hemos estado invirtiendo y reconstruyendo nuestros sistemas para acelerar aún más la implementación de nuestra estrategia de utilizar los sistemas más modernos y seguros posibles”.