Se trata de un ataque a gran escala cuyos contornos son difíciles de discernir. Este miércoles 7 de febrero, la CNIL levantó el velo sobre una filtración masiva de datos sobre dos operadores sanitarios, Viamedis y Almerys. “En total, esta filtración de datos afecta a más de 33 millones de personas”, detalla la CNIL en su comunicado de prensa.
Los datos en cuestión son, para los asegurados y sus familiares, el estado civil, la fecha de nacimiento y el número de seguridad social, el nombre del asegurador de salud así como las garantías del contrato suscrito. “No se ven afectados ni los datos bancarios, ni los datos médicos, ni el reembolso sanitario, ni los datos postales, ni los números de teléfono ni siquiera el correo electrónico”, aseguraron varias mutuas de seguros en mensajes dirigidos a sus clientes. Pero entonces, ¿qué pueden hacer los piratas informáticos con estos datos?
“Es como si los piratas informáticos hubieran robado llaves o llaves maestras”, analiza Denis Jacopini, experto jurídico en ciberdelincuencia. Estos datos ahora pueden ser revendidos o utilizados por piratas informáticos en la misma red para obtener un retorno de la inversión. Entonces, los estafadores tienen a su disposición varias opciones. “Pueden intentar hacerse pasar por usted ante instituciones o empresas”, afirma el especialista. Por ejemplo, el número de seguro social es necesario para conectarse a su cuenta Ameli. Una vez infiltrados en la cuenta de su víctima, los estafadores pueden desviar las asignaciones a sus propias cuentas bancarias.
“Los estafadores también pueden hacerse pasar por organizaciones e intentar engañar”, añade Denis Jacopini. Con datos como nombre, fecha de nacimiento y detalles del contrato de seguro, un hacker puede fácilmente hacerse pasar por un empleado de un banco o de una aseguradora para extorsionar a los usuarios cuyos detalles se han filtrado. “Con ciertos detalles bien elegidos es bastante fácil ganarse la confianza de determinadas personas”, asegura el especialista en ciberseguridad. «Esta información personal permitirá realizar campañas de pesca muy eficaces, por correo electrónico o SMS», confirma Pierre Penalba, ex jefe del primer grupo de lucha contra la ciberdelincuencia de la Policía Nacional. Los mensajes falsos con todos tus datos de contacto aparecerán más grandes que la vida”.
Para prevenir estafas que puedan ocurrir. Denis Jacopini recomienda permanecer en guardia. “Si alguien se presenta al teléfono como tu asesor de banco o de seguros y te pide una acción inusual, probablemente se trate de una estafa”, advierte el experto. La forma más segura es devolver la llamada al número habitual o al número que figura en los documentos oficiales. “La única solución es poder hablar con la misma persona”, insiste Denis Jacopini.
Por su parte, dada la magnitud del ataque, la presidenta de la CNIL decidió llevar a cabo investigaciones para determinar, en particular, si las medidas de seguridad implementadas antes del incidente y en respuesta al mismo eran apropiadas con respecto a las obligaciones del RGPD. “¿Cómo consiguieron los piratas informáticos penetrar en el sitio de la empresa y por qué los datos no estaban cifrados?”, se pregunta Pierre Penalba. Todo el mundo tiene derecho a hacerse la pregunta”. Ce jeudi 8 février, le site de Viamedis, l’un des deux opérateurs piratés, a été suspendu «pour qu’il puisse être réouvert dans les conditions de sécurité maximales, le plus rapidement possible» selon le message présent sur la page d’ bienvenida.