Hace ya 10 días que tres hospitales catalanes --el Moisès Broggi de Sant Joan Despí; el Dos de Maig de Barcelona y el hospital Creu Roja de L'Hospitalet de Llobregat, además de una decena de Centros de Atención Primaria (CAP)-- fueron víctimas de un ciberataque de tipo ransomware. Después de realizar las indagaciones pertinentes, los centros hospitalarios afectados reconocen que no conocen todavía el alcance de la filtración.
Desde Atención al Usuario del Consorcio Sanitario Integral (CSI), participado principalmente por la Generalitat de Cataluña, lanzan un mensaje de tranquilidad a los pacientes, que temen que su información personal se haya visto comprometida y que figure entre los 52,75 gigas de información que el grupo criminal RansomExx, autor del ciberataque, ha colgado en la dark web.
“Imposible saber qué se ha filtrado”
“De momento es imposible saber qué se ha filtrado, porque todavía se están recuperando los datos”, responden desde el CSI a los usuarios. Sugieren a los pacientes que deseen saber si sus datos se encuentran entre los afectados que acudan personalmente al Departamento de Coordinación del hospital con su DNI. “Les tomarán nota y, cuando el hospital esté en disposición de conocer los datos, se les informará”, expresan.
Pero advierten, esto no sucederá a corto plazo, dado que por el momento se desconoce la totalidad de la información secuestrada por la banda criminal. “Hay miles de usuarios y trabajadores que están preocupados, pero no hay que precipitarse”, responden al otro lado de la línea.
Servicios inoperativos
Además de la filtración, estos tres grandes hospitales siguen padeciendo las consecuencias una semana después del ataque. Algunos servicios, como el correo electrónico, “siguen inoperativos”, lo que dificulta algunas tareas.
No obstante, el CSI trabaja con la Autoridad Catalana de Protección de Datos (APDCAT) y con la Agencia de Ciberseguridad de Cataluña (ACC) en la adopción de medidas correctoras. Por el momento, han restaurado el sistema con un servicio de copia en la nube, han implementado medidas para evitar la suplantación de usuarios de los sistemas de información corporativos y han activado el plan de contingencia para mantener la actividad asistencial.
¿Solo datos ofimáticos?
Sobre la información que se ha filtrado, y que compromete la confidencialidad de los datos, como ha reconocido el propio CSI, la ACC asegura que se trata solo de archivos ofimáticos. “Lo único que podemos confirmar, porque así nos lo han trasladado nuestros técnicos, es que los 52,75 gigabites que circulan por la dark web son datos ofimáticos. No confirmamos que las imágenes de DNIs o informes médicos que se han publicado sean de pacientes”, responden las fuentes consultadas.
Sin embargo, los expertos en ciberseguridad consultados por este medio advierten de que la filtración de estos 52,75 gigabites, entre los que figuran documentos de identidad o contratos de trabajo, podría ser solo un señuelo. Una maniobra para exhibir al CSI que tiene en su posesión información sensible y que no dudará, como ya ha hecho, en revelar en su totalidad si no paga un rescate. "Por el modus operandi y por el grupo que ha reivindicado el ataque, todo apunta a que se ha pedido un rescate", expresa Nicolás Castellano, experto en ciberseguridad. "Lo más habitual en estos casos es que se pongan en contacto con la institución y pidan una suma de dinero a cambio. En caso de que esta no ceda, se publican los datos".
Niegan la negociación
A preguntas de este medio sobre una posible negociación entre las partes, desde la ACC niegan que haya habido contacto entre ellos y el grupo que ha reivindicado el ciberataque, la banda criminal RansomExx. Mientras tanto, el CSI trata de atajar las consecuencia del ataque y la crisis reputacional que sucederá a la filtración, dado que los usuarios afectados podrían emprender acciones legales.