La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido impuso una multa de $3.97 millones de dólares (mdd) aproximadamente a Advanced Computer Software Group por un ataque de ransomware en 2022 que expuso los datos personales confidenciales de 79,404 personas, incluidos pacientes del Servicio Nacional de Salud (NHS).
Se trata de la primera multa en ese país impuesta a un procesador de datos en lugar de a un responsable del tratamiento de ellos. El monto impuesto es menor en comparación con la cifra de alrededor de $7.74 mdd que la ICO consideró previamente y anunció en agosto de 2024.
Advanced es una empresa privada británica fundada en 2008, que ofrece servicios de IT, incluidos alojamiento y sistemas basados en la nube. Bajo su marca OneAdvanced, asegura que gestiona 1.5 millones de llamadas al servicio de emergencia 111 del NHS y más de 10 millones de testamentos, además de apoyar a más de dos millones de estudiantes de educación superior en todo el Reino Unido.
Entre los casos notables de multas anteriores de la ICO a responsables del tratamiento de datos se incluyen la multa récord de $25.8 millones de dólares a British Airways por una filtración de datos en 2018 y una multa de $23.81 mdd a Marriott por un incidente de seguridad en 2014, de acuerdo con el sitio Bleeping Computer.
Lockbit, detrás del ataque de ransomware
El ciberataque a Advanced se anunció a principios de agosto de 2022 cuando varios servicios del NHS, incluido el 111, sufrieron interrupciones significativas, lo que apuntaba a una brecha de seguridad en el proveedor británico de servicios gestionados (MSP).
La tecnológica proporcionaba al NHS diversos productos de gestión de pacientes y relacionados con la salud, como Adastra, Caresys, Carenotes, Odyssey, Crosscare, Staffplan y eFinancials.
Advanced no compartió muchos detalles sobre el grupo de ransomware que los había comprometido, pero en los días siguientes se hizo evidente que la recuperación sería larga, incluso con la ayuda de expertos de Mandiant y Microsoft.
Posteriormente se reveló que el grupo de ransomware LockBit fue responsable del ataque, aprovechando credenciales comprometidas para establecer una sesión de protocolo de escritorio remoto (RDP) en un servidor Citrix de Staffplan antes de infiltrarse en el entorno de la organización.
ICO dijo que Advanced no implementó medidas adecuadas
La ICO dijo en un comunicado que multó a Advanced por no proteger los datos y sistemas críticos contra los hackers y destacó que el proveedor de software no implementó las medidas de seguridad adecuadas para evitar la filtración que causó la exposición de datos e interrupciones mortales del servicio de salud.
Estas omisiones se deben principalmente a un análisis deficiente de vulnerabilidades, una gestión inadecuada de parches y la falta de cobertura universal de autenticación multifactor (MFA).
“Las medidas de seguridad de la filial de Advanced no cumplieron con lo que cabría esperar de una organización que procesa un volumen tan grande de información sensible”, declaró el comisionado de Información, John Edwards.
Si bien Advanced había instalado la autenticación multifactor (MFA, por sus siglas en inglés) en muchos de sus sistemas, la falta de una cobertura completa implicaba que los hackers podían acceder, poniendo en riesgo la información personal confidencial de miles de personas.
