El ciberataque de un grupo criminal ruso expuso datos confidenciales de casi 140.000 personas en Cantabria

Transcurrieron apenas unas horas entre los días 7 y 8 de septiembre desde que se produjo un “acceso fraudulento” por parte del grupo cibercriminal KELA de origen ruso al Registro de Animales de Compañía Identificados de Cantabria (RACIC) y las primeras medidas paliativas por parte de los técnicos analistas de la Dirección General de Informática del Gobierno de Cantabria. En ese tiempo, se identificó el origen del ataque, se notificó a las autoridades competentes y se suspendió el servicio para frenar la fuga de información. Sin embargo, estas actuaciones no impidieron que quedaran expuestos los datos confidenciales de cerca de 140.000 personas en un “incidente de seguridad” que los responsables políticos del Ejecutivo autonómico minimizaron y tardaron semanas en reconocer públicamente de manera oficial.

“Los cibercriminales tuvieron acceso a numerosos datos de los propietarios de las mascotas, desde el nombre y apellidos hasta el NIF, la dirección postal, el número de teléfono o el correo electrónico, y en caso de las personas vinculadas a asociaciones o perreras, también algunos datos adicionales más”, recoge el informe emitido por el jefe de servicio de Seguridad de la Información del Gobierno de Cantabria consultado por elDiario.es, en el que se cifra en más de 71.000 personas las que además tenían escaneados documentos como el DNI, lo que convierte en más peligroso el ataque.

“Según ha comunicado la Guardia Civil, las imágenes escaneadas de documentos de identificación tales como el DNI o equivalentes pueden emplearse para abrir cuentas bancarias, solicitar préstamos, realizar registros en casas de apuestas o hacer compras o ventas online”, señala el mismo informe, que advierte asimismo de que el número de personas afectadas por el ataque del grupo cibercriminal KELA es “significativamente alto”. En concreto, cifra en 136.058 las personas expuestas con datos identificativos y 71.370 los usuarios que además disponían de imágenes de documentos de identidad, unos números que el propio consejero de Desarrollo Rural, Ganadería, Pesca y Alimentación de Cantabria, Pablo Palencia (PP), del que depende el control del RACIC, confirmó esta semana en la tribuna del Parlamento.

“Teniendo en cuenta estos factores, se puede concluir que este incidente de seguridad entraña un alto riesgo para los derechos y libertades de las personas físicas. Por ello, resulta necesario atender a las obligaciones de notificación a la autoridad de control y la comunicación de la violación de protección de datos a los afectados”, resalta el análisis del técnico especialista en el documento interno al que ha tenido acceso elDiario.es.

Deficiencias de seguridad

Además, otro informe de valoración de este incidente de seguridad firmado por el delegado de Protección de Datos del Gobierno de Cantabria consultado por este periódico señala las causas que facilitaron esta intrusión informática y que apuntan a las “deficiencias” que existen en la aplicación del Registro de Animales de Compañía, que data de 2006 y no cumplía con los mínimos estándares de seguridad tras más de 17 años desde su puesta en marcha.

“De la información recibida inicialmente y del informe del jefe de Servicio de Seguridad de la Información parece deducirse que esta aplicación se encontraba en fase de renovación integral, y la actual no presentaba las suficientes medidas de seguridad en el acceso por parte de los usuarios, en especial, al uso de doble clave y también a la renovación y cambio periódico de las contraseñas de acceso, ya que algunas de ellas permanecen inalteradas desde hace años. Esta situación lógicamente generó mayores posibilidades de recibir ataques informáticos al Registro”, concluye el delegado de Protección de Datos.

De hecho, los responsables de la seguridad informática del Gobierno de Cantabria llegan incluso a situar el origen del ataque, que se produjo mediante unas credenciales robadas de un usuario de la aplicación adscrito a la Guardia Civil de la Patrulla de Protección de la Naturaleza de Santoña. Así, identificaron la actividad “inusual” y “anómala” en el Registro a través de unas IP vinculadas al grupo cibercriminal KELA de origen ruso, que pudieron descargar datos identificativos de esas 136.058 personas.

Además, tras evaluar las acciones que se han tomado en estas semanas para solventar los problemas surgidos de este acceso fraudulento a los datos de las personas afectadas, que van desde su comunicación a la Agencia Española de Protección de Datos hasta la denuncia ante el Grupo de Delitos Telemáticos de la Guardia Civil y la implementación de nuevas medidas de seguridad, en el informe también se hace hincapié en la necesidad de comunicar los riesgos a los ciudadanos que han visto comprometidos datos personales sensibles para que tomen las debidas precauciones.

“Es preciso realizar una advertencia a todos los ciudadanos y ciudadanas que se hayan inscrito en este registro para que extremen las medidas de alerta ante cualquier llamada telefónica, correo electrónico u otro tipo de comunicación por la cual se pretendan realizar modificaciones en sus contratos especialmente de servicios o bancarios, así como compras por internet. Estos no deben ser atendidos y deberán ponerse en contacto directo con las compañías. Esta recomendación se formula conforme las instrucciones de los servicios policiales en esta clase de incidentes, ya que las imágenes escaneadas de documentos de identificación tales como el DNI o equivalentes pueden emplearse para abrir cuentas bancarias, solicitar préstamos, registros en casas de apuestas y hacer compras o ventas”, insiste.

Minimizaron los riesgos

Esta semana, este ciberataque llegó a la tribuna del Parlamento de Cantabria, donde el diputado y portavoz del PRC en materia de Desarrollo Rural, Guillermo Blanco, pidió explicaciones en el Pleno al consejero de Ganadería, al que acusó de “mentir” a los afectados. “No ha dicho la verdad sobre este incidente en ningún momento: ni cuando negó conocer el número de afectados, ni cuando minimizó el riesgo de seguridad al que se vieron sometidos por el robo de sus datos personales, ni tampoco cuando se comprometió a informar a las víctimas de manera individualizada”, resaltó el dirigente regionalista.

“Cuando el consejero llamaba a la tranquilidad y decía que no había motivos para la alarma, los técnicos competentes del Gobierno de Cantabria señalaban justo lo contrario”, defendió Blanco en la Cámara, en base a los informes consultados por elDiario.es y que confirman que el jefe de servicio de Seguridad de la Información de Cantabria informó a los responsables políticos del Gobierno del PP apenas tres días después de producirse el ciberataque del “alto riesgo” para los derechos y libertades de las personas físicas y de la necesidad de notificar a los afectados.

Más ataques

El Registro de Animales de Compañía Identificados de Cantabria (RACIC) es un servicio informatizado del Gobierno autonómico que permite realizar de manera inmediata la inscripción de las mascotas para los ciudadanos de la comunidad autónoma y es de uso habitual para los servicios veterinarios, que son los que se encargan de poner los chips identificativos a los animales. De hecho, la renovación de esta aplicación está en marcha en estos momentos mediante un convenio suscrito por parte del Ejecutivo autonómico con el Colegio de Veterinarios. 

Además, el ataque sufrido en Cantabria no es el único que se ha producido en España a un servicio similar, ya que hace tan solo unos días trascendió otro acceso fraudulento al sistema de información del Consejo de Colegios Profesionales de Veterinarios de Castilla y León, donde se aloja la Base de Datos del Sistema de Identificación de Animales de Compañía de Castilla y León, donde también se han sustraído datos sensibles de los usuarios con un modus operandi prácticamente igual.