La conocida compañía polaca CD Projekt Red, conocida por título como Cyberpunk 2077 o The Witcher 3, sufrió un ataque de Ransomware hace unos días. Así lo ha dado a conocer a través de su cuenta de Twitter, donde ha emitido un comunicado y ha dado a conocer la literalidad del mensaje de sus atacantes.
Important Update pic.twitter.com/PCEuhAJosR
— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021
Para aquellos que no conozcan los ataques Ransomware, estos consisten en el “secuestro de datos” donde la víctima pierde el acceso a los datos, ya que estos quedan encriptados con una clave privada que solo puede obtener de su atacante. Generalmente suele ser entregada a cambio del pago de una cantidad económica, generalmente mediante sistemas de minería como bitcoin, puesto que estos no pueden ser rastreados y aseguran la impunidad del atacante.
En el caso de CD Projeckt Red, como la misma ha indicado en su comunicado, no teme por la pérdida de datos. El motivo es que conservan una copia de seguridad de sus datos, por lo cual pueden restaurar estos datos encriptados. Generalmente los estudios y demás empresas relacionadas con la informática suelen realizar copias de seguridad con frecuencia, por lo cual con una buena estrategia en este sentido suelen evitar este tipo de situaciones.
El problema de CD Project Red no es la integridad de los datos, sino el hecho de que estos hayan podido ser volcados por los atacantes, es decir, que tengan en su posesión datos sensibles de la compañía. Esto es lo que indican los atacantes en la nota que les ha dejado a la compañía, reclamando un “acuerdo” para no difundir la información volcada. En este sentido, CD Projekt Red ha afirmado que no negociará con sus atacantes y que están mitigando las consecuencias de esta posible difusión. Además, destaca que los datos de los usuarios no están comprometidos, algo que cobra vital importancia por lo que os vamos a contar a continuación.
En cuanto al por qué ha dado a conocer esta situación, mi opinión como jurista es debido a que quiere evitar grandes sanciones administrativas en materia de protección de datos. Polonia es un país de la Unión Europea, por tanto, está afectado por el Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo. En este tipo de casos, cuando existe una difusión de datos personales el hecho de haber dado a conocer dicha situación tanto al público como a las autoridades en materia de protección de datos puede hacer disminuir o desaparecer la sanción administrativa. No olvidemos que, aunque se niegue que no están afectados los datos de los usuarios, no se ha descartado los datos de los trabajadores y demás personas con relación con la mercantil que también están amparados en esta protección de datos personales.
Quedará por ver en los próximos días como se desenvuelven los acontecimientos, aunque el daño a la marca de CD Projekt Red no podrá ser restituido.