La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una clínica dental con 20.000 euros, como consecuencia de un ciberataque que supuso la encriptación de los datos de sus pacientes. Los atacantes, tras encriptar los datos, solicitaron a la clínica dental un pago para proceder al desbloqueo de los mismos (se denomina a esta práctica ransomware).
Los atacantes pudieron entrar al sistema a través de un puerto que la clínica dejó abierto para conectarse al servidor por escritorio remoto. El antivirus que la empresa tenía instalado no pudo detectar si el acceso era lícito o no, y, una vez dentro de los sistemas, los atacantes procedieron a la encriptación de los datos.
En su resolución sancionadora, la AEPD determinó que la clínica dental no contaba, en el momento del ataque, con las medidas de seguridad apropiadas, y que, además, las medidas que adoptó fueron con posterioridad a sufrir el ataque (medidas reactivas), y no con anterioridad al mismo (medidas preventivas). Al margen de ello, la empresa comunicó la brecha de seguridad de manera tardía, en la medida en que la misma ocurrió en fecha 20 de abril, pero no fue comunicada a la AEPD hasta el día 12 de mayo.
La AEPD termina sancionando a la empresa con 15.000 euros por falta de medidas de seguridad adecuadas, y 5.000 euros por la defectuosa comunicación de la brecha de seguridad a la AEPD.
