Ciberdelincuentes amenazan con divulgar los registros médicos y de salud mental de los pacientes

Ransomware es un término aterrador para muchos líderes empresariales y CISO que temen ser atacados por un malware que bloquee sus datos y pueda cerrar las operaciones. Esperan encontrar esa nota de rescate con una redacción extraña que les advierte cómo podrían recuperar el acceso a sus datos, por una tarifa considerable, por supuesto. Por una variedad de razones, que incluyen controles mejorados, copias de seguridad, odio por pagar a los actores de amenazas criminales, las organizaciones se niegan cada vez más a pagar a los piratas informáticos .

Los Ciberdelincuentes han respondido a estas negativas con amenazas de divulgar información personal confidencial en línea e incluso recurriendo a contactar directamente a las personas cuyos datos se han visto comprometidos.

Un artículo del Wall Street Journal de esta mañana habla de esta preocupante tendencia en las filtraciones de datos. Vastaamo, un centro de tratamiento de psicoterapia en Helsinki, sufrió un ciberataque en 2020. Los piratas informáticos extrajeron registros confidenciales de salud mental de 33 000 pacientes y amenazaron con divulgarlos en línea a menos que Vastaamo pagara el rescate, aproximadamente 400 000 euros.

Según el artículo:

“Cuando la clínica no pagó, el pirata informático presionó a los pacientes individuales para que pagaran con correos electrónicos de intimidación… una víctima dijo que el pirata informático le dio 24 horas para pagar alrededor de 200 euros en bitcoins, o se publicarían sus registros de terapia”.

Ir directamente a las personas afectadas, ya sean pacientes, empleados, estudiantes, etc., permite que los piratas informáticos también ejerzan una presión significativa sobre la organización para que pague una suma mucho mayor.

La decisión de pagar o no pagar un rescate viene con una serie de consideraciones críticas, algunas de las cuales se analizan aquí . En la niebla de un ataque, con la prensa, agencias gubernamentales, afiliados y/o pacientes u otras personas afectadas buscando respuestas en la organización, trabajar para desarrollar una estrategia efectiva es mucho más difícil. El aumento de la preparación no hará que este proceso sea fácil, sin embargo, se deben tomar decisiones difíciles. Pero trabajar en este tipo de escenarios y planificar en general un ataque equipará mejor a los ejecutivos y a la junta para trabajar en los hechos de su caso y tomar mejores decisiones más rápidamente.