El 30 de diciembre de 2021 se activó una alarma en los sistemas de monitorización de seguridad del Servicio de Salud de les Illes Baleares. Esta indicaba que se producía un ataque contra los sistemas de información.
- ¿Cuál ha sido el tipo de ataque acontecido contra los sistemas de información?
Una vez analizada la alerta de seguridad, se determinó que el servicio de salud estaba sufriendo un ciberataque. Dadas las características, tenía como objetivo robar datos, cifrar la información y pedir el pago de un rescate.
Este tipo de incidentes de ciberseguridad son comúnmente conocidos como criptovirus o ransomware. El ataque procedía de un grupo de ciberdelincuentes presente en territorio español y muy activo, especialmente contra las administraciones públicas.
- ¿Cuál ha sido el alcance de este ataque de seguridad?
Fruto de las investigaciones, el Servicio de Salud ha detectado que solo se han podido ver comprometidos un conjunto limitado de datos personales de sus sistemas de información. Dentro de este, los atacantes han podido acceder a una determinada información de carácter personal de algunos ciudadanos, y también a información relativa a profesionales del organismo.
¿Cual ha sido la actuación del Servicio de Salud de las Islas Baleares?
Para el Servicio de Salud, la privacidad de sus pacientes y profesionales es una de sus principales prioridades. Por ello, seguimos trabajando y desplegando todas las medidas que están a nuestro alcance para continuar con la investigación del incidente y minimizar los posibles daños sobre la información de los ciudadanos y trabajadores que puedan haberse visto afectados.
Para ello, desde el Servicio de Salud se han llevado a cabo las siguientes actividades:
Comunicación de la brecha de seguridad al Centro de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT) y a la Agencia Española de Protección de Datos (AEPD)
Interposición de la denuncia ante la Dirección General de la Policía Nacional
Activación del equipo de respuesta al incidente
Corte de las comunicaciones hacia y desde el exterior. Así se han habilitado exclusivamente los accesos necesarios mínimos y siempre en función de las necesidades para la prestación ordinaria de los servicios
Cambio forzado de contraseñas de los usuarios
Identificación de los sistemas afectados y posibles filtraciones de datos
Aislamiento de los equipos afectados
Triaje de los sistemas y accesos implicados en el incidente
Puesta en marcha de un plan de acción definido en cuatro áreas: ciberseguridad, comunicaciones, sistemas y control de acceso y de recursos humanos
¿Cómo puedo saber si el incidente de seguridad ha afectado a mis datos personales?
El Servicio de Salud de las Illes Balears ha puesto a disposición de la ciudadanía un nuevo servicio digital, que permite comprobar si sus datos personales se han visto afectados por el incidente de seguridad de diciembre de 2021.
Puede elegir uno de los dos métodos de identificación digital disponibles para iniciar el trámite digital de comprobación de afectación de datos personales debido al incidente de seguridad de diciembre de 2021
Iniciar el trámite por medio de la identificación digital por SMS
Iniciar el trámite por medio de la identificación digital por Cl@ve permanente
- ¿Quién puede comprobar si sus datos personales se han visto afectados por el incidente de seguridad?
Cualquier persona residente en las Islas Baleares que se identifique por medio de:
- Código de identificación del paciente (CIP): es el número que empieza por 38 impreso en la tarjeta sanitaria individual (TSI).
- Sistema de identificación Cl@ve Permanente (usuarios con o sin TSI).
- ¿Cómo se puede consultar la afectación del incidente de seguridad con código SMS?
- En el servicio digital de este trámite, en el menú de la izquierda debe seleccionar: «Afectación incidente seguridad diciembre 2021 (SMS)».
- Seguidamente, accederá a un formulario dónde donde debe introducir los datos siguientes:
- El código de identificación del paciente (CIP): es un número que empieza por 38 y se encuentra impreso en la tarjeta sanitaria individual.
- La fecha de nacimiento en formato dd/mm/aaaa
- Los tres últimos dígitos de su teléfono móvil
- El texto de la imagen CAPTCHA que aparece en la parte de abajo
- Recibirá en su móvil un código de seguridad por SMS que deberá introducir en el paso siguiente.
- Finalmente, podrá comprobar si el incidente de seguridad ha afectado a sus datos personales en el paso «3. Afectación».
- Si quiere comprobar qué datos se han visto afectados por el incidente de seguridad, debe identificarse por medio del sistema Cl@ve.
Es importante que sus datos administrativos y de contacto estén actualizados.
- ¿Cómo puede consultar la afectación del incidente de seguridad con sistema de identificación Cl@ve?
- En el servicio digital de este trámite, en el menú de la izquierda debe seleccionar: «Afectación incidente seguridad diciembre 2021 (Cl@ve)».
- Seguidamente, el sistema le redireccionará a la pasarela de identificación digital, dónde puede escoger uno de los sistemas de identificación: DNIe/Certificado electrónico o Cl@ve permanente.
- Una vez comprobada la veracidad de su identidad digital la pasarela de identificación digital le redirigirá nuevamente al Portal del Paciente. En él podrá comprobar si el incidente de seguridad ha afectado o no a sus datos personales. En caso afirmativo, podrá conocer también la relación de las categorías de datos afectadas.
- ¿Qué es el método de identificación con DNIe/certificado electrónico?
La firma electrónica o el certificado electrónico del documento nacional de identidad electrónico (DNI electrónico o DNIe) garantizan la identidad de la persona que efectúa la gestión y la integridad del contenido de los mensajes que envía.
Cuando acceda al servicio digital de este trámite, mediante el DNIe, el sistema le pedirá que seleccione el certificado correspondiente. Después de ser identificado y verificado, la Plataforma de identidad electrónica para las administraciones le dará acceso al trámite que quiera efectuar.
- ¿Qué es el método de identificación con Cl@ve permanente?
- Cl@ve permanente es un sistema que unifica y simplifica el acceso electrónico de los ciudadanos a los servicios públicos y permite identificarse ante la administración pública electrónica o sede electrónica.
- Para utilizar este sistema de claves concertadas y firma en la nube, los ciudadanos tienen que registrarse previamente en el sistema, aportando los datos de carácter personal solicitados.
- ¿Cómo me puedo registrar en Cl@ve permanente?
- Si es la primera vez que utiliza Cl@ve, debe registrarse siguiendo los pasos determinados en el sistema de registro de Cl@ve.
- Cuando los datos hayan sido validados, recibirá una clave temporal en el teléfono móvil asociado a su usuario. Debe introducirlo para seguir el proceso de autentificación.
Ayuda sobre Cl@ve
Para obtener más información sobre el proceso de registro, puede consultar el apartado «Registro» del «Portal informativo» de Cl@ve.
En las Islas Baleares dispone de una red de oficinas de registro con servicio especializado @Clave en diferentes órganos de la administración local o autonómica, para los que puede pedir cita digitalmente.
Igualmente, cabe recordar que también puede presentar un escrito a la Atención del Delegado de Protección de Datos digitalmente por medio del Registro Electrónico Común (REGAGE) de la Administración General del Estado o presencialmente en cualquiera de los registros habilitados por la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.
- Equipo de Respuesta del Servicio de Salud
El Equipo de Respuesta del Servicio de Salud trabaja para contener y reducir al mínimo los perjuicios que se puedan derivar del incidente. Así mismo, reiteramos nuestras disculpas por los posibles problemas que pudiera ocasionarle este suceso.
Quedamos a su disposición para las consultas que considere realizar por los medios indicados en el párrafo anterior.