La famosa compañía asturiana de consultoría informática llamada ASAC Comunicaciones, que brinda servicios en la nube a múltiples administraciones públicas, sufrió un ciberataque el pasado 8 de mayo, suponiendo la desconexión de todos sus servidores.
El autor de este fenómeno se llama Zeppelin Buran, se trata de un tipo de virus de secuestro informático (ransomware), caracterizado por cifrar la información de los equipos afectados para posteriormente, solicitar un rescate en criptomonedas a la víctima a cambio de recuperar el control.
Se han visto afectados por este ciberataque una multitud de entidades públicas, entre otros, ayuntamientos como el de Oviedo, Cáceres, Vinaròs, así como distintos portales de entidades como son la Fundación Española para la Ciencia y la Tecnología (FECYT), el Tribunal de Cuentas o el Consejo de Seguridad Nuclear (CSN), quedando algunos de sus sistemas inactivos durante horas.
La empresa ya ha contactado a INCIBE-CERT, así como con el Centro Criptológico Nacional (CCN CERT), a quienes se les ha notificado el incidente con el objetivo de buscar toda aquella colaboración necesaria para solucionar el problema. Ante este tipo de ataques, se recomienda el apagado de todos sus sistemas para evitar cualquier tipo de daño.
No obstante, la compañía cuenta con ciertas medidas y certificaciones de seguridad, entre ellas, ISO 27001, 27017, 27017, 20000, 22301. Esto ha supuesto que sus sistemas hayan podido garantizar la confidencialidad total de toda la información, evitando su pérdida. Entre las webs que se han visto afectadas se encuentran: la del Tribunal de Cuentas, la web del FECYT o la web del Consejo de Seguridad Nuclear (CSN), sin descartar que se hayan producir más afectaciones, pues la empresa ASAC colabora con distintas organizaciones a nivel nacional.
En relación con los datos de carácter personal, el delegado de protección de datos o, en ausencia de este, el responsable de seguridad de todas las entidades públicas afectadas deberá evaluar el nivel de perjuicio que haya podido causar el incidente a los derechos y libertades de los afectados, notificando el mismo ante la autoridad competente si fuese necesario, en este caso, a la Agencia Española de Protección de Datos.