World

Ciberataque contra el CICR: qué sabemos

Última actualización: 25 de enero de 2022, 09:00 CET. Seguiremos actualizando estas preguntas en función de los acontecimientos que se produzcan y modificaremos el vocabulario según corresponda en favor de una mayor precisión.

El 18 de enero, el CICR determinó que los servidores que alojan información de más de 500 000 personas que reciben servicios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja habían sido alcanzados por un ciberataque altamente sofisticado. Tomamos este ataque con suma seriedad y hemos estado trabajando con nuestros socios humanitarios en todo el mundo para entender el alcance del incidente y definir las medidas adecuadas para proteger nuestros datos.

Aquí ofrecemos algunas respuestas basadas en la información más reciente de que disponemos.

1. ¿Qué ocurrió?

Uno de nuestros socios en informática detectó una anomalía en los servidores del CICR que contenían información relativa a los servicios de Restablecimiento del contacto entre familiares (RCF) que el Movimiento Internacional de la Cruz Roja y de la Media Luna Roja presta en todo el mundo. La finalidad de este servicio es volver a poner en contacto a personas separadas a raíz de guerras, violencia, migración y otras causas, lo que implica trabajar entre múltiples países. Con nuestro socio, procedimos entonces a hacer una investigación exhaustiva y determinamos que los autores del jaqueo habían ingresado en nuestros sistemas y habían accedido a los datos contenidos en los servidores.

Dado que la naturaleza del ataque nos impedía garantizar la integridad del sistema, tuvimos que dejar fuera de línea los servidores afectados. Ahora estamos examinando cada ingreso en las aplicaciones para entender mejor lo que ocurrió. No creemos que los datos hayan sido alterados, hasta el momento, pero para mayor seguridad y confirmación hemos contratado a una empresa independiente para que efectúe una auditoría.

También creemos que es importante determinar si se trató de un ciberataque dirigido contra los servidores del CICR y no contra la empresa que los alojaba. Nosotros gestionamos los datos y las aplicaciones contenidos en los servidores, pero no somos responsables de la empresa que los aloja. No podemos brindar más información técnica sobre cómo se ejecutó el ataque, ya que la situación va cambiando constantemente.

2. ¿Quiénes han cometido este ataque?

No sabemos quiénes son los autores de este ataque. No hemos tenido ningún contacto con los responsables del jaqueo y no hemos recibido ningún pedido de rescate. En consonancia con nuestra práctica habitual de interactuar con cualquier actor que pueda facilitar o impedir nuestra labor humanitaria, estamos dispuestos a comunicarnos en forma directa y confidencial con los responsables de esta operación, sean quienes sean, para hacerles comprender la necesidad de respetar nuestra acción humanitaria.

3. ¿Qué medidas hemos tomado para responder al incidente?

Estamos trabajando con las delegaciones del CICR y las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja afectadas en el terreno, para encontrar la manera de informar a las personas y a las familias cuyos datos pueden haber sido alcanzados acerca de las medidas que hemos tomado para proteger sus datos y los riesgos a los que podrían haber quedado expuestas. Hemos desconectado los servidores alcanzados por el ataque y ahora estamos definiendo soluciones de corto plazo para que los equipos de la Cruz Roja y de la Media Luna Roja en todo el mundo sigan prestando ayuda humanitaria en el ámbito del RCF a las personas afectadas por este incidente.

4. ¿Los datos fueron copiados y extraídos?

Debemos suponer que sí. Sabemos que los autores del jaqueo estuvieron dentro de nuestros sistemas y, por lo tanto, tuvieron la capacidad de copiar y exportar los datos. Hasta donde sabemos, la información no ha sido publicada ni comercializada por el momento. Es importante aclarar que creemos que no se han borrado datos y estamos definiendo soluciones provisorias para que los equipos de la Cruz Roja y de la Media Luna Roja puedan seguir dando apoyo a las personas que están separadas de sus familiares o que no tienen noticias de sus seres queridos.

5. ¿A qué información pudieron acceder los autores del jaqueo?

El incidente alcanzó datos personales como nombres, lugares e información de contacto de más de 515 000 personas de todo el mundo. Las personas afectadas son personas desaparecidas y sus familiares, menores no acompañados o separados de sus familiares, personas detenidas y otras personas que reciben servicios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja a raíz de un conflicto armado o un desastre natural, o por haber migrado.

También se accedió a la información de registro de unos 2000 empleados y voluntarios de las organizaciones de la Cruz Roja y de la Media Luna Roja que trabajan en estos programas. Gracias a la segmentación de los sistemas, ninguna otra información del CICR fue alcanzada por el ataque.

6. Se ha dicho que la información está en venta en la internet oscura (dark web). ¿Han investigado estas denuncias y, si es así, qué pudieron averiguar?

Tenemos un equipo especialmente dedicado al tema que da seguimiento a toda denuncia que recibimos respecto de que los datos estén disponibles en la internet oscura. Por el momento, no tenemos pruebas concluyentes de que la información alcanzada por el incidente se haya publicado o se esté comercializando. En caso de que determinemos que alguna de las denuncias es genuina, lo informaremos de manera pública y transparente.

7. ¿Con quiénes estamos trabajando?

Nos hemos asociado con empresas muy especializadas para que nos ayuden a resolver esta situación. La red de organizaciones de la Cruz Roja y de la Media Luna Roja está en contacto con las autoridades nacionales competentes.

8. ¿Qué consecuencias tiene el ataque para nuestras actividades?

El Movimiento Internacional de la Cruz Roja y de la Media Luna Roja ayuda a que doce personas por día, en promedio, puedan reencontrarse con sus familiares. Los ciberataques como este atentan contra esa labor esencial. Como consecuencia de este ataque, nos hemos visto obligados a desconectar los sistemas que alojan los datos, lo que limita gravemente los servicios que podemos ofrecer al más de medio millón de personas afectadas.

Los Estados han asignado responsabilidades específicas a las organizaciones humanitarias imparciales, como el CICR. Una de ellas es reunir información sobre personas dadas por desaparecidas para volver a ponerlas en contacto con sus familiares. Necesitamos un espacio humanitario digital seguro y confiable en el que nuestra información operacional y, sobre todo, los datos de las personas a las que ayudamos, estén protegidos. Este ataque ha violado de todas las maneras posibles ese espacio humanitario digital seguro.

9. ¿Este incidente podría afectar la confianza depositada en el CICR respecto de la protección de datos personales?

Sí, podría afectarla significativamente, y esta es una de nuestras mayores preocupaciones. Este ciberataque podría costarnos la confianza de las personas a las que prestamos servicios: podrían no querer compartir con nosotros los datos que necesitamos para ayudarlas. Los datos alcanzados por este incidente fueron recogidos por Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja de todo el mundo con la finalidad de ayudar a algunas de las personas más vulnerables a restablecer el contacto con sus familiares o a encontrar a un ser querido desaparecido.

No podemos cumplir esta labor, cruzando países y océanos, sin intercambiar datos entre los componentes del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja. Esta tarea nos fue encomendada por los Estados, y no podemos cumplirla si las personas no confían en nosotros y no nos comunican sus datos para ayudarlas a encontrar respuestas.

10. ¿Cómo podrían usarse estos datos para causar daño?

No queremos especular con ningún uso indebido de estos datos. Sin embargo, es importante recordar que estos datos fueron recogidos para que las organizaciones de la Cruz Roja y de la Media Luna Roja puedan buscar y localizar a personas desaparecidas. Si se los usa indebidamente o si caen en manos equivocadas, podrían ser utilizados por Estados, por grupos no estatales o por particulares para contactar o buscar a personas y causarles daño. Este ataque es una violación extrema de la privacidad y la seguridad de los titulares de los datos, así como de su derecho a recibir protección y asistencia humanitarias.

11. ¿Por qué entregamos datos personales y confidenciales a un proveedor externo?

Elegimos esta empresa y es nuestro proveedor desde hace largo tiempo porque tiene el mismo rigor y los mismos criterios que tendríamos nosotros para cualquier servidor alojado internamente. Queremos reiterar que este fue un ataque directo contra los servidores del CICR y no contra la empresa que los alojaba.

12. ¿Qué sistemas estaban instalados para prevenir un ataque como este?

En el Comité Internacional de la Cruz Roja, venimos advirtiendo desde hace años sobre al aumento de los ataques cibernéticos contra instalaciones de salud. También hemos expresado nuestra creciente preocupación sobre la protección de datos en situaciones humanitarias. Sabíamos desde hacía mucho tiempo del peligro de que nuestros datos algún día pudieran ser objeto de un ataque. Hemos invertido considerablemente en ciberseguridad y trabajamos con socios de confianza para mantener altos estándares en cuanto a los sistemas y a la protección de los datos.

También hemos invertido en sistemas que nos ayuden a detectar cualquier actividad sospechosa, y gracias a ellos pudimos detectar este ciberataque. Para contar con defensa informática profesional, contratamos todos los años una empresa externa que audita nuestros sistemas. Sin embargo, este ataque demuestra que los sistemas no son inmunes frente a operaciones cibernéticas sofisticadas y queremos reiterar que es crucial que los datos recogidos y almacenados con fines humanitarios no sean objeto de ataques.

13. ¿Qué debería hacer si creo que mis datos podrían haber sido alcanzados por este ciberataque?

Ante inquietudes respecto de los propios datos, comunicarse con la Sociedad Nacional de la Cruz Roja o de la Media Luna Roja local o con la oficina del Comité Internacional de la Cruz Roja de su país. Sabemos que nos confió información y datos personales sobre hechos posiblemente traumáticos de su vida. Nos tomamos muy en serio esta responsabilidad. Queremos hacerle saber que estamos haciendo todo lo posible para restablecer los servicios que nos enorgullece prestar en todo el mundo. Haremos un enorme esfuerzo por mantener su confianza para seguir prestándole ayuda.