Tres ciberataques en un año ponen en tela de juicio la seguridad de hospitales públicos catalanes

Tres ciberataques con vulneración de datos privados en tres hospitales públicos catalanes en sólo 13 meses. Los centros sanitarios de la red autonómica de Cataluña están en la diana tras otro hackeo esta semana, con daño en información muy sensible, en este caso de los trabajadores. Afectó a dos hospitales, el de Berga y la Fundació Sant Hospital de La Seu d'Urgell, y se suma a las brechas en el Clínic Barcelona, en marzo, y en el Consorci Sanitari Integral, en octubre de 2022. 

Médicos de la red sanitaria concertada de la Generalitat de Cataluña expresaron ayer su desazón por la gestión de la Consejería catalana de Salud con la seguridad informática. El Departamento de Manel Balcells (ERC) no respondió a Crónica Global. Sí lo hicieron fuentes de la Agencia de Ciberseguridad de Cataluña, que quitaron hierro a este último episodio de cibervandalismo. 

"No tiene nada que ver"

Desde el ente autonómico destacaron que la brecha de los Hospitales de Berga y La Seu "no tiene nada que ver con el ciberataque al Clínic y al CSI, porque no es un ataque directo, sino a un servidor externo". La Agencia de Ciberseguridad se refiere a Denario, la empresa y software de gestión de recursos humanos asaltada por los piratas informáticos. Los dos hospitales eran clientes de esta firma.

Dos sanitarios limpian una ambulancia en el Hospital de La Seu, uno de los afectados Cedida

Desde el organismo que dirige Oriol Torruella insisten en que "se trata de un servicio externo", por lo que no se puede hablar de ciberataque contra hospitales. Lo comparan con un hackeo a Google, que "no supone un ataque a ciudadanos, sino contra Google". 

"Posible acceso a nóminas"

Desde el sector sanitario discrepan y recuerdan que los hospitales que trabajan con Denario  "pueden haber tenido acceso a datos personales, nóminas, remuneración, guardias y otros datos protegidos", por lo que la vulnerabilidad tiene los mismos efectos que si hubiera sido contra el propio hospital. 

Este medio pidió ayer a los hospitales de Berga y La Seu más datos sobre el ataque. No los recibió. Sí se sabe que los cacos encriptaron sus ficheros de personal y pidieron un rescate para ellos, antes de ser regateados con la ayuda de una empresa externa, que ayer tampoco contestó. El sistema volvía a estar activo ayer. 

Contratista del ICS

También se conoce que el ICS ha contratado a Denario en varias ocasiones, y también lo ha hecho el Instituto Catalán de Oncología (ICO), entre otros entes que han recurrido a sus servicios.

Sala de espera de consultas externas del ICO en Badalona Cedida

Eso sí, desde Vall d'Hebron y el Hospital Universitario de Bellvitge (HUB), dos de los que han contratado a esta compañía de Sabadell (Barcelona) en el pasado, confirmaron que la arquitectura de gestión de personal es otra y no vinculada al ciberataque. 

"Pueden suplantar identidades"

De este modo, desde la estructura de la Generalitat insisten en minimizar el alcance de la brecha. Algo que no comparte Ricard Martínez, profesor de Derecho Constitucional en la Universidad de Valencia (UV). "Es evidente que el ataque en sí es a los hospitales. Decir que no lo es es irrelevante, pues un contratista externo es elegido por la gerencia del hospital. Y ésta retiene la tutela obre la custodia de los datos", ha aseverado.

Martínez ha preguntado "qué datos pudieron capturar los hackers, como por ejemplo matrículas de coches de los sanitarios, o datos muy privados". ¿Por qué? "Porque se podrían suplantar identidades con esa información", ha alertado. El también director de la Cátedra de Privacidad y Transformación Digital de la UV ha recordado que "hay que ser diligente en la prevención", pues se sabe que los ataques "van a ocurrir". Porque la información sanitaria "es muy fácil de comercializar en el mercado negro". 

"Los ataques a sanidad son los más frecuentes"

Comparte este parecer Juan Manuel López, experto en ciberseguridad y gestión de datos de IPM, a Ricoh Company, que recuerda que los ataques a infraestructuras sanitarias "son los más comunes, con el doble de incidentes que el siguiente campo, que son las finanzas". Ante ello, el experto recuerda que las administraciones, "todas", deben "tomar medidas" para anticiparse a los piratas. "No podemos competir contra ellos, pues no son un chaval en su garaje, son grandes organizaciones con acceso al mercado negro donde vender los datos robados", enfatiza. 

De hecho, las brechas en sanidad "permiten a los piratas mercadear con los datos más fácilmente, pues se trata de información muy sensible". Es por ello que hay cierto efecto llamada contra los hospitales. En este escenario, López prescribe dos estrategias. "Hay que ser expertos en esto, anticiparse y blindarse por diversas vías". Y dos, "trasponer la legislación comunitaria, que aún no se ha hecho". El directivo se refiere a dos: el Reglamento DORA sobre resiliencia operativa digital y la directiva NIS2 sobre ciberseguridad. "No todos los niveles institucionales han hecho los deberes", concluye.