El pasado 5 de julio el CNIO fue conocedor, a través del Ministerio del Interior y de sus diferentes departamentos de fuerzas y cuerpos de seguridad del estado, de que podría haber sido objeto de una intrusión informática. El CNIO procedió a comunicar el caso a las autoridades competentes, con quienes colaboró, junto con su departamento de IT y Sistemas de Información, para determinar el alcance de la incidencia advertida y poder restablecer el 100% de las comunicaciones con plenas garantías.
No consta impacto alguno en la esfera personal de los usuarios. El CNIO, no obstante, publica esta nota por su compromiso con la transparencia y el cumplimiento de la normativa vigente en materia de protección de datos.
Gracias a los sistemas de seguridad con que ya contaba el CNIO, se pudo detectar de forma temprana y poner en marcha el protocolo de seguridad para mitigar el impacto que esta incidencia podría haber provocado en sus sistemas de información. Este protocolo ha consistido en varias acciones de mitigación, consensuadas con expertos en ciberseguridad, como son:
-Actualización de restricciones de las políticas de acceso a los servicios,
-Implementación de medidas de mitigación de ataques clásicos
Igualmente, en cumplimiento del Reglamento General (UE 2016/679) de Protección de Datos, debemos informar que tras las investigaciones desarrolladas por el personal especializado que ha participado en la gestión, contención y proceso de resolución del incidente de seguridad sufrido, se ha advertido que ha habido información de carácter personal albergada por el CNIO en su sistema de información que se ha visto comprometida; no obstante, no se ha tenido noticia de incidencia alguna para la esfera personal de los usuarios del CNIO y del resto de particulares eventualmente afectados.
Tras el análisis realizado, consideramos muy poco probable la producción de consecuencias negativas para los titulares de los datos personales afectados. A pesar de ello, recomendamos que se preste atención a los siguientes consejos por si en los próximos días o fechas se recibiera algún mensaje o email sospechoso:
· Cambio de contraseña del teléfono móvil
· Cambio de contraseña de la cuenta de correo de correo electrónico personal.
Reglas a tener en cuenta para el cambio de contraseña:
· Contraseña segura: aquellas contraseñas que no pueden determinarse fácilmente ni por adivinación ni utilizando programas automáticos:
· Características recomendadas:
· que incluya números;
· que se utilice una combinación de letras mayúsculas y minúsculas;
· que tenga una longitud mayor o igual a 14 caracteres, sin espacios en blanco;
· que incluya caracteres especiales: – * ?¿ !¡ @ # $ / () {} = . , ; :
Aspectos a evitar en la contraseñas:
· evitar utilizar información personal en la contraseña (nombre, fecha de nacimiento, etc.);
· evitar utilizar patrones de teclado (qwerty) o números en secuencia (1234);
· evitar utilizar únicamente números, únicamente mayúsculas o únicamente minúsculas en su contraseña; evitar repetir caracteres.
· compartir las contraseñas con otros compañeros ni revelarlas a nadie;
· escribirlas en un papel (o post-it) encima de la mesa o pegado a la pantalla del ordenador;
· guardarlas en el mismo ordenador en un archivo de fácil acceso ni nombre evidente (“contraseña”)
· utilizar la misma contraseña para distintos usos (conviene diversificar las contraseñas)
· Utilizar servicios de doble factor de autenticación, si la tecnología lo permite
· Revisar los enlaces antes de hacer clic, aunque sean de contactos conocidos.
· Desconfiar de los enlaces acortados
· Desconfiar de los ficheros adjuntos, aunque sean de contactos conocidos
· Mantener actualizado el sistema operativo y el antivirus.
Para obtener más información sobre medidas de seguridad consulte en el Instituto Nacional de Seguridad INCIBE-CERT o en la propia Agencia Española de Protección de Datos.
Estamos a disposición de cualquier interesado en consultar cualquier duda o consideración a través del contacto con nuestro delegado de protección de datos en la siguiente dirección de email: delegado_lopd@cnio.es
La entrada El CNIO gestiona en el mes de julio una incidencia de seguridad informática se publicó primero en CNIO.