El segundo ciberataque a hospitales en diez meses pone en duda la protección de datos sensibles

El pasado viernes 7 de octubre tres hospitales catalanes --el Moisès Broggi de Sant Joan Despí, el Dos de Maig de Barcelona y el hospital Creu Roja de L'Hospitalet de Llobregat-- además de una decena de Centros de Atención Primaria (CAP) fueron víctimas de un ciberataque de tipo ransomware. Este último episodio se ha producido apenas diez meses después del ciberataque que puso en jaque a la Generalitat de Cataluña, tumbando varias de sus páginas web a finales del año pasado.

En diciembre de 2021 la Consejería de Políticas Públicas, entonces dirigida por Jordi Puigneró, reconoció un potente ciberataque contra el nudo de comunicaciones de la Generalitat. Las consecuencias más visibles fueron la caída de páginas de la Corporación Catalana de Medios Audiovisuales (CCMA) como la de TV3 o la de Catalunya Ràdio, que a través de sus cuentas de Twitter confirmaron el hackeo. Pero el ataque tuvo otras consecuencias que pasaron desapercibidas.

El precedente

“El ataque de tipo ransomware afectó también entonces a Salut, provocando la inoperatividad de los servicios online”, confirma Nicolás Castellano, experto en ciberseguridad. El ataque, explica, fue similar al registrado el pasado viernes, si bien en aquel momento no hubo una filtración de datos sensibles. Después de extorsionar a la Generalitat bajo amenaza de revelar la información secuestrada, la venganza de los autores fue “tumbar los servicios de internet para dejar sin conexión” a la víctima del hackeo. Por eso, Castellano cree que detrás de estos ataques, aunque de la misma tipología, están dos grupos criminales diferentes.

La directora gerente del ICS, Yolanda Lejardi, el 'conseller' de Salud, Josep Maria Argimon y el vicepresidente de la Generalitat, Jordi Puigneró, en el Hospital Vall d'Hebron de Barcelona / EUROPA PRESS

En el registrado el pasado viernes, y asumido por la banda criminal RansomExx, como avanzó este medio, se ha producido una filtración de datos confidenciales, como ha confirmado el Consorci Sanitari Integral (CSI). En total, los autores han publicado en la dark web un paquete con 52,75 gigabites de datos robados a los hospitales afectados. Entre ellos figuran copias de DNIs de cara y dorso, contratos de trabajo, resultados de ensayos clínicos de Pfizer y BioTec o contratos de protección de datos de terceros. Todos ellos sin anonimizar.

Datos de especial protección

En este sentido, Cristina Collado, del área de Ciberseguridad de Plexus Tech, recuerda que, "por normativa, todos los datos que manejan los hospitales deben estar debidamente anonimizados dada la especial protección que merecen”. "Estos datos sufren procedimientos de disociación, de forma que la información que se obtenga por parte de terceros sobre diagnosis o tratamientos no pueda asociarse a una persona identificada o identificable", expresa la experta. Con esto se evitaría, por ejemplo, que se puedan hacer búsquedas de una persona en concreto o que las aseguradoras se lucren de estos datos. Pero también se protege al usuario. "De lo contrario, los pacientes podrían ver su vida médica y personal expuesta". 

A la vista de los datos publicados, cabe la posibilidad de que los hospitales los archivaran correctamente y la banda criminal haya logrado descodificar esta información tras tomar el control de los sistemas en tiempo récord, pero también es posible que el hospital no hubiese archivado la totalidad de la información de la debida forma. 

En caso de sufrir un ataque como el mencionado, los hospitales deben informar en un periodo de 72 horas a la Agencia de Protección de Datos, que valorará la imposición de sanciones contra el propio CSI tras conocer el alcance de la filtración. Con quien ya trabaja codo con codo el Consorci, de quien dependen los hospitales afectados, es la Autoritat Catalana de Protecció de Dades (APDCAT) y la Agència de Ciberseguretat de Cataluña (ACC), que intentan delimitar el alcance y que han comenzado a adoptar medidas, como un plan de contingencia, para evitar nuevas filtraciones de información sensible. Una medida que, para los expertos, llega demasiado tarde.

No ha habido negociación

En este caso los autores del ataque ransomware han aprovechado una brecha de seguridad de Microsoft Exchange, una cuenta de correo electrónico profesional, para colarse en los servidores de los hospitales. “Ha sido un ataque conocido como día cero”, confirman fuentes de la agencia ACC. "Ni siquiera el fabricante del producto conocía esta vulnerabilidad", argumentan, asegurando que no se podía prever.

Una enfermera en el Hospital Moisès Broggi / DAVID ZORRAKINO - EUROPA PRESS

A través de esta grieta, los cibercriminales han accedido a información confidencial de los hospitales, que posteriormente han publicado en la dark web. Aunque la ACC mantiene que "se trata únicamente de información ofimática" y de que estos 52.57 gigabites son toda la información que los criminales han secuestrado, los expertos en ciberseguridad lo interpretan como un posible señuelo. "Por el modus operandi y por el grupo que ha reivindicado el ataque, todo apunta a que se ha pedido un rescate", expresa Castellano. "Lo más habitual en estos casos es que se pongan en contacto con la institución y pidan una suma de dinero a cambio. En caso de que esta no ceda, se publican los datos".

Pero en este caso llama la atención la celeridad con la que RansomExx ha filtrado la información, por lo que podría tratarse de una forma de presión al CSI para que pague un rescate. Esta maniobra no solo permitiría al grupo confirmar que está en posesión de información sensible, sino sus intenciones de revelarla. No obstante, a preguntas de este medio la ACC niega que haya habido por el momento contacto entre la parte afectada y la banda.

Falta de prevención

Mientras tanto, el CSI trata de atajar las consecuencia del ataque y la crisis reputacional que sucederá a la filtración, dado que los usuarios afectados podrían emprender acciones legales. Por el momento, trabaja activamente en la restauración de los servicios y en un plan de contingencia. Una semana después de la filtración el Centro de Telecomunicaciones y Tecnologías de la Información (CTTI) ya ha instalado un software proporcionado por la ACC en 1.000 ordenadores del CSI para evitar un nuevo incidente, pudiéndose ampliar a 3.500. Asimismo, también ha facilitado nuevos dispositivos destinados a garantizar el servicio asistencial en los Centros de Atención Primaria. “¿Por qué no lo instalaron antes entonces?”, se pregunta el experto en seguridad Albert Gabàs, que subraya que se han tomado “medidas de respuesta”, pero no de prevención. 

“Se han descuidado cosas tan elementales como la actualización de los sistemas, en este caso de Microsoft Exchange, por donde parece que se han colado. Algo muy básico”, insiste. “Hay una falta de planificación y de gestión de la ciberseguridad”, lamenta. Asegura que el mejor método para atajar estos ataques es que las instituciones catalanas se guíen por el NIST 800-53, alineándose con los mejores controles de seguridad, y que garanticen las medidas adecuadas para "almacenar los datos de forma segura, que en muchos casos significa almacenarlos de forma cifrada o parcialmente cifrada", lo que evitaría una filtración de datos al imposibilitar a los atacantes el acceso a ellos.