La ciberbanda Ransomexx atacó hace 10 días los ordenadores del sistema informático del Consorci Sanitari Integral (CSI), un organismo que gestiona el concierto de 13 centros sanitarios entre hospitales, atención primaria, residencias y valoración de la dependencia en Barcelona y su primera corona metropolitana. Como es habitual en acciones de este perfil, la ley del silencio fue la primera que se impuso entre los gestores.
Como los usuarios de la red pública a la que dan servicio estos 13 centros sufrieron los problemas de la caída de la red, a los responsables de la sanidad catalana no les quedó otro remedio que reconocer que habían sufrido un ciberataque y aseguraron que la Agencia Catalana de Ciberseguridad se ponía manos a la obra para “resolver la incidencia”. Pero es que la “incidencia”, también como suele ser habitual en estos casos, fue más allá de un simple parón del operativo.
Además de reivindicar la autoría del ataque, los piratas informáticos de Ransomexx reconocieron esta semana, tal y como avanzó Crónica Global, que tenían en su poder datos de pacientes que han pasado por alguno de estos 13 centros. Y se trata de la información más sensible de una persona, sus historiales médicos detallados y vinculados con sus documentos de identidad y otra información básica como la laboral. Es decir, con una trazabilidad total.
Para demostrarlo, filtraron 54 gigas. ¿Son los únicos que consiguieron robar? Los expertos en ciberseguridad apuntan a que es muy posible que tengan más información y que usen este primer paquete para forzar la negociación económica con el CSI. Porque conseguir una cuantiosa recompensa es el principal objetivo de ataques de este perfil y hay empresas (catalanas y muy conocidas) que se han rascado el bolsillo para poner fin a las brechas de seguridad que han sufrido.
Habrá ciberataques y estos no deben frenar las mejoras que nos puede aportar la tecnología. Esto es parte de nuestro presente y futuro. Deben pesar más los avances que el miedo a los criminales, vayan a pie o se muevan por la red. Pero lo que ha ocurrido en la sanidad catalana debe ser un caso de análisis y reflexión en profundidad sobre la falta de transparencia en la gestión de una crisis de este perfil, incluso en las administraciones públicas. Existen carencias reales en el control de la privacidad de los ciudadanos y en brindar información real y detallada sobre lo ocurrido.
La normativa europea en este sentido es clara y supone uno de los marcos regulatorios más proteccionistas para las personas de todo el mundo. Pero su incumplimiento es constante. ¿Alguno de los usuarios de estos 13 centros adscritos al CSI ha recibido información clara, concisa y fácil de comprender sobre si su historial médico ha sido vulnerado? Ni siquiera ha existido una comparecencia pública ni de los responsables del departamento de Salut, ni del CSI ni de la Agencia Catalana de Ciberseguridad para ofrecer este tipo de datos. Sí ha habido atenciones a los medios, pero esto de por si no implica ser transparente si hay una voluntad expresa de evitarlo.
El ataque ha coincidido en la gran crisis del Govern y el cambio de consejero de Salut en Cataluña. Con todo, las carencias informativas que han existido en este episodio son análogas a las vividas en otros grupos privados que en los últimos años han sido objetivo de los piratas informáticos. Empresas que, al final y ante los datos evidentes, se han visto forzados a reconocer la vulneración de sus sistemas informáticos y el robo de información. Siempre con la coletilla de que ningún dato privado ha sido sustraído a pesar de que, también, se constate lo contrario. ¿Cuándo dejaremos de infantilizar a la ciudadanía?