Violación de datos de Vastaamo
Violación de datos en Finlandia en 2020
Violación de datos de Vastaamo
Fecha
  • Noviembre de 2018 (primera intrusión)
  • Marzo de 2019 (segunda penetración)
  • 21 de octubre de 2020 (se hizo público)
UbicaciónFinlandia
TipoCiberataque, violación de datos, ransomware
ObjetivoVastaamo
SospechososAleksanteri Kivimäki  [es]

Vastaamo fue un proveedor de servicios de psicoterapia privado finlandés fundado en 2008. [1] El 21 de octubre de 2020, Vastaamo anunció que su base de datos de pacientes había sido pirateada. La información privada obtenida por los perpetradores se utilizó en un intento de extorsionar a Vastaamo y, más tarde, a sus clientes. [2] Los extorsionadores exigieron 40 bitcoins , que en ese momento valían aproximadamente 450.000 euros, y amenazaron con publicar los registros si no se pagaba el rescate. Para aumentar la presión sobre sus demandas, los extorsionadores publicaron cientos de registros de pacientes al día en un tablero de mensajes de Tor .

Después de que la extorsión a la empresa fracasara, los extorsionadores enviaron correos electrónicos a los clientes cuyos datos habían obtenido, exigiéndoles que pagaran rescates para evitar la publicación de sus datos personales confidenciales. [3] [4] [5] [6] Estas demandas de rescate se enviaron a aproximadamente 30.000 víctimas. [6] Se descubrió que las prácticas de seguridad de la empresa eran inadecuadas: los datos confidenciales no estaban encriptados ni anonimizados [7] [6] y la raíz del sistema no tenía una contraseña definida. [8] [9] [10] Los intrusos accedieron por primera vez a los registros de los pacientes en noviembre de 2018, mientras que las fallas de seguridad continuaron existiendo hasta marzo de 2019. [5]

En diciembre de 2021, la Autoridad de Protección de Datos de Finlandia (APD) multó a Vastaamo con 608.000 euros por infringir las disposiciones del Reglamento General de Protección de Datos (RGPD). [9] [10] Este ciberataque se convirtió en el mayor caso penal de la historia de Finlandia. También se convirtió en un escándalo internacional y en un ciberataque sin precedentes en su alcance debido a la táctica denominada doble extorsión aplicada por los ciberdelincuentes. [11]

El 28 de octubre de 2022, la Oficina Nacional de Investigación nombró al sospechoso detrás de la violación como Aleksanteri Julius Kivimäki, de 25 años. [12] [13] Kivimäki fue acusado en ausencia en el Tribunal de Distrito de Helsinki por violación de datos agravada, intento de extorsión agravado, distribución agravada de información que viola la vida privada, chantaje, violación de la confidencialidad y falsificación de pruebas. [12] [14] Se presentó una orden de arresto ante Europol e Interpol contra Kivimäki indicando que se encontraba en Dubai . [14] [13] En 2015, Kivimäki, entonces miembro del Lizard Squad , fue declarado culpable de más de 50.000 cargos de delitos informáticos. [13] [15]

Kivimäki fue arrestado en Francia el 3 de febrero de 2023. [16] Fue extraditado a Finlandia el 24 de febrero. [17]

Fondo

Vastaamo, una empresa finlandesa que brindaba servicios privados de salud mental a sus pacientes, fundada en 2008.

Vastaamo era un centro de psicoterapia privado con sede en Helsinki fundado en 2008 que brindaba servicios privados de salud mental a sus pacientes. [1] Era una empresa con veinticinco centros de terapia en todo el país nórdico de 5,5 millones de personas. [18] Vastaamo operaba como subcontratista del sistema de salud pública de Finlandia. [19] Ville Tapio, exdirector ejecutivo de Vastaamo, tuvo primera oportunidad de hablar del hacker el 28 de septiembre de 2020. Inmediatamente notificó a varias autoridades gubernamentales, incluida la policía. [6] El 21 de octubre de 2020, Vastaamo anunció que sus registros de tratamiento confidenciales de aproximadamente 36.000 pacientes de psicoterapia y 400 empleados [20] habían sido comprometidos. [11] El centro de psicoterapia recibió una demanda de rescate de 450.000 euros en Bitcoin. [19] La base de datos de pacientes filtrada contenía información personal de los clientes de psicoterapia, como sus nombres completos, direcciones de domicilio, direcciones de correo electrónico, números de seguridad social, nombres de las clínicas donde recibieron tratamientos y notas de los terapeutas y médicos de cada sesión. [21] [6]

Como la empresa se resistió a pagar el rescate, el hacker, utilizando el alias “ransom_man”, [18] publicó las notas de las sesiones de terapeuta de al menos 300 pacientes, [22] incluidos políticos y policías, [23] en un foro público a través de la red Tor . Las notas de las sesiones de terapeuta contenían información sobre relaciones adúlteras, intentos de suicidio y pensamientos pedófilos. [6] El hacker se acercó a las víctimas de la brecha de seguridad directamente con correos electrónicos de extorsión exigiendo rescates de 200 euros pagados en Bitcoin, con la cantidad aumentada a 500 euros a menos que se pagara dentro de las 24 horas. [19] Un archivo de datos de 10 gigabytes que contenía notas privadas entre al menos 2.000 pacientes y sus terapeutas había aparecido en sitios web en la “web oscura”. [18] La información de los pacientes fue robada durante dos ataques, que comenzaron ya en 2018. Esta primera intrusión en la base de datos de Vastaamo tuvo lugar en noviembre de 2018, y los sistemas fueron penetrados entre finales de noviembre de 2018 y marzo de 2019. [19] [5] PTK Midco, un holding propiedad de Intera Partners, una firma de capital privado finlandesa, que adquirió una participación del 70% en Vastaamo en mayo de 2019. La empresa ha solicitado una investigación sobre la adquisición y también ha solicitado que se cancele su adquisición de la empresa y se devuelva el precio de compra por no revelar el hackeo. [23]

El 26 de octubre de 2020, Ville Tapio fue relevado de sus funciones como director ejecutivo del centro de psicoterapia. [24] Vastaamo fue declarada en quiebra por decisión del Tribunal de Distrito de Helsinki en febrero de 2021. [10] A principios de marzo de 2021, su personal y sus servicios fueron transferidos a Verve, un proveedor de servicios de bienestar laboral. La base de datos de pacientes de la empresa no fue transferida a Verve. [6]

Impacto

La violación de la seguridad ha sacudido la confianza social en las instituciones de Finlandia, ha violado sistemas sensibles y ha dañado la fe en las redes sociales en línea que se supone que están debidamente protegidas. Miles de víctimas han sufrido ansiedad, inseguridad y estrés por este evento traumático, y los efectos psicológicos del trauma son duraderos. [25] Esto creó una oportunidad nacional para el debate público sobre los problemas de salud mental. [25] Además, se ha puesto de manifiesto la débil seguridad de los sistemas de atención de la salud. Este incidente de piratería tuvo un amplio impacto en las obligaciones de la industria de la salud de proteger sus redes y aumentar su responsabilidad. [23] La violación de la seguridad sirvió como una llamada de atención para la ciberseguridad de Finlandia, que luego aumentó la preparación para los ataques digitales a los proveedores de atención médica y las instituciones de educación privada. [26] [27] El enfoque en equilibrar la disponibilidad de la información y la gobernanza de los datos [21] ha aumentado junto con las inversiones en la seguridad informática de las empresas desde que ocurrió el incidente de piratería. Como resultado de la violación de datos, la Autoridad de Protección de Datos de Finlandia (DPA) comenzó a tomar más en serio las violaciones del RGPD y aumentó las actividades de cumplimiento. [10] Los resultados de las investigaciones sobre la violación de la seguridad, así como las sanciones establecidas, sirven ahora como punto de referencia para futuras evaluaciones jurídicas. [23]

Respondiendo al hackeo

Inmediatamente después del ataque, los gabinetes del gobierno finlandés celebraron su reunión habitual de los miércoles para abordar cuestiones de ciberseguridad, crear nueva legislación sobre seguridad de datos y robos de identidad, y prometer apoyo de emergencia a las víctimas. [26] [28] Más de 22.600 víctimas de chantaje en 2020 han visitado The Victim Support Finland (RIKU), una organización que ofrece asesoramiento y apoyo a las víctimas de delitos. [25] Varias organizaciones finlandesas han establecido rápidamente formas de ayudar a las víctimas, incluidos números de acceso directo a iglesias y servicios de terapia. [19] Las organizaciones que ofrecen servicios de apoyo a las víctimas incluyen la Cruz Roja Finlandesa, Mental Health Finland, Victim Support Finland y la Iglesia Evangélica Luterana de Finlandia. [29] Además, muchas empresas que trabajan con números de seguridad social y cobro de deudas han tomado medidas para ayudar a las víctimas cuyas identidades han sido robadas. [28] Para reconstruir la confianza pública en el gobierno y las autoridades, el gobierno central finlandés solicitó que las agencias gubernamentales se aseguraran de que el procesamiento y manejo de la información personal sea seguro para minimizar la fuga de datos personales. [29] Además, los ministerios llevaron a cabo revisiones sobre lo que pueden hacer mejor dentro de sus propios departamentos y cómo pueden garantizar al público la seguridad de sus datos personales. [29] La Oficina Nacional de Investigación de Finlandia introdujo un código penal finlandés sin precedentes, en el que una persona puede ser declarada culpable de violación de la privacidad del titular de los datos cuando procesa datos personales, ya sea intencionalmente o por negligencia grave, y causa daño o inconvenientes significativos al titular de los datos. [23] Además, el gobierno finlandés aceleró la legislación que permite a sus ciudadanos cambiar sus códigos de identidad personal cuando hay una violación de datos que implicaría un alto riesgo de robo de identidad. [23]

En febrero de 2023, Aleksanteri Kivimäki, de 25 años, fue extraditado a Finlandia desde Francia. Desde entonces se encuentra detenido por delitos relacionados con la piratería de los historiales clínicos de los pacientes del centro de psicoterapia Vastaamo. [30]

En abril de 2023, el Tribunal de Distrito de Helsinki condenó al exdirector ejecutivo de Vastaamo, Ville Tapio, a una pena de prisión condicional de tres meses. Fue declarado culpable de un delito de protección de datos previsto en el Reglamento General de Protección de Datos (RGPD). [31]

En octubre de 2023, Aleksanteri Kivimäki fue acusado de robar registros de pacientes de psicoterapia y de más de 21.000 cargos de extorsión. [32] Su juicio estaba previsto que comenzara el 13 de noviembre. [32]

En abril de 2024, Aleksanteri Kivimäki fue condenado a seis años y tres meses de prisión. [33] El autor y consultor de tecnologías de la información Petteri Järvinen  [fi] ha utilizado la sentencia relativamente leve como prueba de que el ciberdelito a menudo no tiene consecuencias graves para el autor en Finlandia, incluso si las víctimas sufren sus resultados durante el resto de sus vidas. [34]

Véase también

Referencias

  1. ^ ab "Psykoterapiakeskus Vastaamo Oy | Yrityksen tieot". ES Taloussanomat (en finlandés) . Consultado el 28 de octubre de 2020 .
  2. ^ Teivainen, Aleksi (6 de enero de 2021). "HS: El propietario del centro de psicoterapia Vastaamo solicita una investigación sobre la adquisición". Tiempos de Helsinki . Consultado el 31 de marzo de 2022 .
  3. ^ "Hackean la base de datos de un centro de psicoterapia y piden rescate por los datos de los pacientes". Yle Uutiset . 21 de octubre de 2020 . Consultado el 28 de octubre de 2020 .
  4. ^ Kleinman, Zoe (26 de octubre de 2020). "Pacientes de terapia chantajeados por dinero tras filtración de datos de la clínica". BBC News . Consultado el 28 de octubre de 2020 .
  5. ^ abc Sipilä, Jarkko (27 de octubre de 2020). «Pacientes de terapia en Finlandia chantajeados tras filtración de datos». CNN . Consultado el 28 de octubre de 2020 .
  6. ^ abcdefg Ralston, William. "Les dijeron todo a sus terapeutas. Los hackers lo filtraron todo". Wired . ISSN  1059-1028 . Consultado el 23 de febrero de 2022 .
  7. ^ "Tietoturva | Terapiapotilaisiin kohdistunut tietomurto on voinut vaarantaa tuhansien ihmisten tietosuojan, kyseessä on täysin" poikkeuksellinen tapahtuma"". Helsingin Sanomat (en finlandés). 2020-10-22 . Consultado el 24 de octubre de 2020 .
  8. ^ "Kiristäjä julkaisi suomalaisten arkaluontoisia terapiakeskusteluja - vaatii 450 000:ta euroa tai jatkoa seuraa". Ilta-Sanomat (en finlandés). 2020-10-21 . Consultado el 24 de octubre de 2020 .
  9. ^ ab "Psykoterapiakeskus Vastaamolle seuraamusmaksu tietosuojarikkomuksista" (en finlandés). 2021-12-16.
  10. ^ abcd "Multa administrativa impuesta al centro de psicoterapia Vastaamo por violaciones de protección de datos | Defensoría del Pueblo de Protección de Datos". Tietosuojavaltuutetun toimisto . Consultado el 29 de marzo de 2022 .
  11. ^ ab Alexis (22 de diciembre de 2020). "El ciberataque que sacudió a la nación". Helsinki Times . Consultado el 31 de marzo de 2022 .
  12. ^ ab "Tällainen sobre Julius Kivimäki, jota epäillään Vastaamon tietomurrosta". Iltalehti (en finlandés) . Consultado el 21 de noviembre de 2022 .
  13. ^ abc "El tribunal detiene a un finlandés en ausencia como sospechoso de piratería de datos de un centro de psicoterapia". Yle News . 2022-10-28 . Consultado el 2022-11-21 .
  14. ^ ab "Etsintäkuulutettu Julius Kivimäki kertoo elinoloistaan ​​HS:lle: väittää omistavansa rahastoihin liittyvän yrityksen". Ilta-Sanomat (en finlandés). 2022-11-13 . Consultado el 21 de noviembre de 2022 .
  15. ^ "Hacker acusado de extorsionar a un servicio de psicoterapia online". Krebs on Security . 3 de noviembre de 2022 . Consultado el 21 de noviembre de 2022 .
  16. ^ "La policía francesa detiene a un sospechoso de piratería y extorsión en un centro de psicoterapia finlandés". Yle.fi . Yle. 3 de febrero de 2023 . Consultado el 3 de febrero de 2023 .
  17. ^ "Vastaamon tietomurrosta epäilty Aleksanteri Kivimäki on tuotu Suomeen" (en finlandés). MTV. 2023-02-25 . Consultado el 28 de febrero de 2023 .
  18. ^ abc Helsinki, AFP en (2020-10-26). "El 'impactante' hackeo de los registros de psicoterapia en Finlandia afecta a miles de personas". the guardian . Consultado el 31 de marzo de 2022 .
  19. ^ abcde "Finlandia conmocionada por el hackeo de un centro de terapia y el chantaje a un cliente". AP NEWS . 2021-04-20 . Consultado el 2022-03-31 .
  20. ^ "El ransomware pasa de ser una 'molestia económica' a una amenaza para la seguridad nacional". VOA . 22 de mayo de 2021 . Consultado el 31 de marzo de 2022 .
  21. ^ ab Teivainen, Aleksi (23 de octubre de 2020). "La piratería informática puede haber comprometido la privacidad de miles de pacientes de psicoterapia en Finlandia". Helsinki Times . Consultado el 31 de marzo de 2022 .
  22. ^ "Violación de Vastaamo: hackers chantajean a pacientes de psicoterapia". threatpost.com . 26 de octubre de 2020 . Consultado el 31 de marzo de 2022 .
  23. ^ abcdef "Un hombre moribundo, un terapeuta y la redada de rescate que sacudió al mundo". Wired UK . ISSN  1357-0978 . Consultado el 11 de abril de 2022 .
  24. ^ Teivainen, Aleksi (27 de octubre de 2020). "IS: Vastaamo despide al director ejecutivo, diciendo que sabía sobre piratería informática durante 18 meses". Tiempos de Helsinki . Consultado el 31 de marzo de 2022 .
  25. ^ abc "La extorsión a pacientes de terapia en Finlandia sacude la cultura de la privacidad". Christian Science Monitor . 2021-03-19. ISSN  0882-7729 . Consultado el 2022-03-29 .
  26. ^ ab Milne, Richard (26 de octubre de 2020). «La policía finlandesa busca a un chantajista que pirateó los registros de un centro de psicoterapia». Financial Times . Consultado el 29 de marzo de 2022 .
  27. ^ "Violación de Vastaamo: hackers chantajean a pacientes de psicoterapia". threatpost.com . 26 de octubre de 2020 . Consultado el 29 de marzo de 2022 .
  28. ^ ab "Violación de datos de Vastaamo: lo que sabemos hasta ahora". Finland Today | Noticias en inglés | finlandtoday.fi . 28 de octubre de 2020 . Consultado el 11 de abril de 2022 .
  29. ^ abc Teivainen, Aleksi (26 de octubre de 2020). "Ohisalo: el gobierno finlandés hablará sobre piratería el miércoles". Tiempos de Helsinki . Consultado el 29 de marzo de 2022 .
  30. ^ "Aleksanteri Kivimäki está bajo custodia por el hackeo de Vastaamo". Yle Uutiset . 28 de febrero de 2023 . Consultado el 19 de abril de 2023 .
  31. ^ "El exdirector ejecutivo de un centro de terapia hackeado recibe una sentencia de tres meses en suspenso". Yle Uutiset . 18 de abril de 2023 . Consultado el 19 de abril de 2023 .
  32. ^ ab "Acusan a un hombre de piratería informática en Finlandia de 21.000 cargos de extorsión". The Guardian . Agence France-Presse . 18 de octubre de 2023 . Consultado el 9 de marzo de 2024 .
  33. ^ "Tällaisen tuomion Julius Kivimäki sai". Ilta-Sanomat (en finlandés). 30 de abril de 2024 . Consultado el 30 de abril de 2024 .
  34. ^ "It-rikos kannattaa". Tivi (en finlandés). 7 de junio de 2024 . Consultado el 19 de septiembre de 2024 .
Obtenido de "https://es.wikipedia.org/w/index.php?title=Violación_de_datos_de_Vastaamo&oldid=1246699882"