Ya lo hemos dicho antes, pero lo volvemos a repetir:
Imagina que has hablado con un psicoterapeuta que creías que era total confianza, pero el contenido de vuestras sesiones se ha guardado, junto con detalles precisos de identificación personal como tu DNI y tal vez incluyendo información adicional como notas sobre tu relación con tu familia…
…y luego, por si eso no fuera suficientemente malo, imagina que se guardaran vuestras conversaciones, y por si fuera poco eran accesibles a través de Internet, supuestamente “protegidas” por poco más que una contraseña predeterminada que daba acceso a cualquiera a todo.
Eso es lo que les ocurrió a decenas de miles de pacientes confiados del Centro de Psicoterapia Vastaamo de Finlandia, ahora en quiebra.
Los ciberdelincuentes encontraron los datos inseguros
Al final, al menos un ciberdelincuente encontró el camino hacia los datos mal protegidos.
Tras robar los datos, decidió chantajear a la clínica por 450.000 euros; cuando eso no funcionó, cayó aún más bajo e intentó chantajear a los pacientes por 200 euros cada uno, con la advertencia de que la “tarifa” aumentaría a 500 euros al cabo de 24 horas.
El chantajista dijo que los pacientes que no pagaran al cabo de 48 horas serían “doxxed”, un término que significa exponer públicamente tus datos personales a propósito.
Al parecer, el extorsionador amenazó no solo con filtrar el tipo de información que podría costar dinero a las víctimas por usurpación de identidad, como datos de contacto y DNI, sino también con divulgar las transcripciones guardadas de sus conversaciones íntimas con los terapeutas de la clínica.
Aunque en febrero de 2022 se detuvo en Francia a un sospechoso de la parte de chantaje de este caso, tras la emisión de una orden de detención internacional, ese no fue el único interés de las fuerzas de seguridad finlandesas.
Víctima como autor
Aunque la propia clínica fue víctima de un ciberdelito, el antiguo CEO de la clínica, Ville Tapio, también se enfrentó a cargos penales.
Además de no tomar el tipo de precauciones de seguridad de datos que cualquier paciente médico supondría razonablemente que existen, y que la ley esperaría, parece que Tapio conocía la deficiente ciberseguridad de su empresa hasta dos años antes de que se produjera el chantaje en 2020.
Peor aún, supuestamente conocía los problemas porque la clínica sufrió violaciones en 2018 y 2019, y no informó de ellas, presumiblemente con la esperanza de que no se produjera ningún ciberdelito rastreable como resultado, y que por tanto la empresa nunca fuera descubierta.
Pero las normativas modernas sobre divulgación de filtraciones y protección de datos, como la GDPR europea, dejan claro que las filtraciones de datos ya no pueden “barrerse bajo la alfombra” sin más, y deben divulgarse rápidamente por el bien de todos.
Pues bien, las noticias procedentes de Finlandia indican que Tapio ha sido condenado y sentenciado a prisión, lo que recuerda a los directivos empresariales que no basta con prometer que se cuidarán los datos personales de los demás.
Hablar sólo de boquilla sobre ciberseguridad es insuficiente, hasta el punto de que puedes acabar siendo tratado como víctima y autor de ciberdelitos al mismo tiempo.
¿Qué opinas?
Tapio fue condenado a tres meses de prisión, pero la pena quedó en suspenso, por lo que no irá directamente a la cárcel.
¿Salió bien parado, sobre todo teniendo en cuenta la sensibilidad de los datos que los pacientes de su empresa pensaban que podían confiarle?
Deja tu opinión en los comentarios…