Un ciberataque afecta a datos de la búsqueda internacional de familiares

Como parte de este ciberataque selectivo y sumamente profesional, se ha vulnerado la protección de los datos personales y de la información confidencial de más de 515 000 personas de todo el mundo. Entre las personas afectadas se encuentran familias que han quedado separadas, personas que buscan a algún familiar, personas desaparecidas y sus allegados y otras que reciben la ayuda del Movimiento de la Cruz Roja y de la Media Luna Roja.

Puesto que en el desempeño de su labor el Servicio de reagrupación de la Cruz Roja Alemana (Servicio de Búsqueda de la DRK) también emplea estos sistemas digitales y, por lo tanto, ha resultado afectado por esta brecha de seguridad, lamentablemente debemos suponer que los atacantes también hayan podido acceder a los datos personales que usted nos ha facilitado. Actualmente se están llevando a cabo más investigaciones, no obstante, suponemos que este acceso no autorizado afectaría en particular a información personal de las siguientes categorías:

• nombres, sexo, fechas y lugares de nacimiento, nacionalidades, y afiliaciones étnicas de personas que buscan a un familiar, pero también de personas desaparecidas, contactos, remitentes y destinatarios de los mensajes de la Cruz Roja;
• domicilios y direcciones postales, números de teléfono, direcciones de correo electrónico de personas que buscan a un familiar, contactos, remitentes y destinatarios de mensajes de la Cruz Roja, así como los últimos datos de contacto conocidos de las personas desaparecidas;
• datos de parentesco entre los solicitantes y las personas desaparecidas, así como entre los remitentes y los destinatarios de los mensajes de la Cruz Roja.

Si nos facilitó esta información como parte de la solicitud de búsqueda, estos datos quedaron registrados en los sistemas digitales afectados .

Del mismo modo, y en el caso de que otorgase su consentimiento para participar en Trace the Face / Trace the Face – Kids, no podemos descartar que se haya producido un acceso no autorizado a las fotografías de los solicitantes y las personas desaparecidas.

Por el momento se desconoce con qué intención se ha cometido esta grave violación de la seguridad. Según las investigaciones realizadas hasta la fecha, se presume que los datos afectados no han sido manipulados ni borrados en el ataque. Además, por el momento no hay indicios de que los datos robados ya se hayan hecho públicos o se hayan diseminado. No obstante, la investigación de todas estas cuestiones sigue abierta y en constante supervisión por expertos en seguridad informática.

El Servicio de Búsqueda de la DRK, junto con el CICR y otras 191 Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja de otros países, presta ayuda a personas que se han visto separadas de sus seres queridos como consecuenciade conflictos armados, catástrofes, huidas, expulsión o migración.Mediante el trabajoconjuntode esta red internacional de servicios de restablecimiento del contacto entre familiares, ayudamos a localizar a seres queridos y a ponerlos de nuevo en contacto con sus familias. El Movimiento de la Cruz Roja y de la Media Luna Roja contribuye a reunir con sus familias a doce personas desaparecidas cada día. Ciberataques como este ponen en riesgo esta importante labor.

Proteger la información que usted y otras personas que buscan ayuda nos confían para el servicio de reagrupación internacional es nuestra máxima prioridad. Por este motivo, seguimos unas normas de conducta especiales a la hora de tratar esta información tan personal, y nos esforzamos siempre por proteger nuestros sistemas digitales frente al acceso no autorizado de terceros mediante el uso de las tecnologías más avanzadas.

Inmediatamente después de tener constancia del ataque, se desconectaron los sistemas afectados del CICR para impedir que continuara el acceso no autorizado a los datos. Además, se encargó a una empresa especializada en seguridad informática que investigara el ataque y que ayudara al CICR a proteger mejor sus sistemas digitales frente a futuros ataques similares.

Asimismo, en el Servicio de Búsqueda de la DRK, hemos implantado medidas de seguridad adicionales de forma inmediata frente a accesos no autorizados en nuestros sistemas internos, que son los que utilizamos, por ejemplo, para enviar información sensible de forma segura dentro del Servicio de Búsqueda de la DRK, y que no estaban conectados a los sistemas informáticos afectados del CICR. Para garantizar la capacidad operativa del Servicio de Búsqueda de la DRK, hasta nuevo aviso, emplearemos, en el ámbito de la búsqueda internacional, una base de datos local de la Cruz Roja alemana en la que seguimos teniendo la información necesaria sobre su expediente hasta que se pueda garantizar la recuperación de los sistemas del CICR en un entorno seguro. 

Puesto que el alcance y las repercusiones de este ataque son aún desconocidos, continuamos investigando el incidente y evaluando los posibles riesgos y consecuencias en diferentes contextos y personas. Desafortunadamente, resulta aún más difícil evaluar los riesgos específicos para cada persona, ya que en la actualidad, no tenemos ningún indicio de quién es el responsable de este ataque ni del propósito con el que podrían utilizarse los datos sustraídos.

A pesar de las medidas que tomadas, no es descartable que pueda resultar víctima de un fraude o de un robo de identidad, por lo que a continuación le ofrecemos algunas indicaciones sobre los pasos puede dar para minimizar los daños:   

• Tenga cuidado con los ataques de phishing, es decir, el envío de mensajes fraudulentos que parecen proceder de una fuente fiable o de un remitente conocido. En este tipo de mensajes se pide a los destinatarios, por ejemplo, que revelen información personal en una página web falsa, o por teléfono, con el fin de cometer actos delictivos, como robos de identidad, obtener acceso no autorizado a las cuentas del destinatario o instalar programas informáticos maliciosos en su ordenador o teléfono móvil.
• No responda a mensajes sospechosos y no revele información personal en respuesta a correos electrónicos no deseados. En caso de duda, póngase en contacto con el centro de asesoramiento del Servicio de Búsqueda de la DRK más cercano para asegurarse de que le hemos solicitado esa información.
• Si recibe un correo electrónico o un mensaje de texto sospechoso que aparentemente proceda de la Cruz Roja o en el que se le pidan sus datos personales, bórrelo inmediatamente y no lo reenvíe ni lo comparta. Asegúrese de que se trata del logotipo auténtico de la Cruz Roja alemana.
• Transmítales igualmente estas indicaciones a familiares y otras personas con las que tenga contacto y cuyos datos nos haya facilitado en relación con su solicitud de búsqueda .
• Informe a su entorno personal de que sus datos podrían ser utilizados de forma ilícita.

Tan pronto recibamos nueva información sobre el origen de este incidente que permita evaluar los riesgos de forma más precisa, la pondremos inmediatamente a su disposición en la página web del Servicio de Búsqueda de la DRK www.drk-suchdienst.de.

Consulte la página web del Servicio de Búsqueda de la DRK para hacer un seguimiento de nuestros avances y mantenerse informado sobre las posibles medidas adicionales como consecuencia de esta brecha de seguridad. Haremos todo lo posible por proporcionarle recomendaciones útiles para su protección y la de sus seres queridos, de acuerdo con la información más reciente de la que se disponga.

Si tiene alguna inquietud particular o duda sobre la información que puede haberse visto afectada por esta brecha de seguridad, no dude en ponerse en contacto con el centro de asesoramiento del Servicio de Búsqueda de la DRK más cercano. Solo así podremos comprobar qué otras medidas serían adecuadas en su caso personal para evitar riesgos inminentes. Si no dispone de los datos de contacto pertinentes, puede buscarlos aquí: https:/www.drk-suchdienst.de/drk-suchdienst-in-ihrer-naehe/.

También puede ponerse en contacto con el responsable de protección de datos del Servicio de Búsqueda de la DRK por correo electrónico en la dirección Datenschutz-Suchdienst(at)drk.de.