Los ciberdelincuentes que atacaron el Hospital Clínic venden los datos robados
En ocasiones, prevenir las amenzas y contar a tiempo con un plan frente a los posibles ataques de ciberseguridad que pueden darse en una organización, ya sea pública o privada puede ser un “salvavidas” frente a las numerosas e indeseadas consecuencias que exigen los ciberdelicuentes para no revelar la información sustraída como consecuencia de un ataque que afecte a la seguridad de sistemas informáticos claves.
¿Qué ocurrió en el ataque al Hospital Clínic y qué datos fueron robados?
El Hospital Clínic de Barcelona sufrió el pasado 5 de marzo ataque de tipo ransomware a manos del grupo Ramsom House. Rápidamente, los servicios de Informática y Ciberseguridad del Hospital Clínic dieron la voz de alerta a la Agencia de Ciberseguridad Catalana para tratar de averiguar la cantidad y los tipos de datos que habían sido robados y dar una rápida solución al grave problema que supone sufrir un ataque cibernético.
El ramsomware se introdujo aprovechando alguna brecha de seguridad en los sistemas informáticos del hospital, algunos de ellos utilizando software desactualizados de que pueden ser atacados empleando vulnerabilidades públicas (denominadas Common Vulnerabilities and Exposures) Esta vulnerabilidad produjo una intrusión no autoriza que originó la difusión del software malicioso encargado de robar y cifrar la información, que puede ser accesible por los ciberdelincuentes). Tras el ataque, el grupo de Ramsom House exigió el pago de 4,5 millones de dólares (aproximadamente 4,25 millones de euros) para no hacer públicos los datos que habían robado y enciptado.
Como consecuencia del ataque, el Hospital sufrió el robo y el cifrado de más de 4,5 terabytes de datos personales de pacientes y empleados. Además, los datos personales robados por el grupo Ramsom House son especialmente sensibles. Los datos relativos a la salud como el registro de ingresos, historias clínicas, órdenes médicas, informes de quirófano, al igual que los referentes a la raza, orientación sexual o creencias religiosas, están considerados por el RGPD y la LOPDGDD como datos personales sensibles. Desde la publicación del RGPD esta información es considerada como una categoría especial de datos por lo que el robo y el encriptado de estos, perpetrado por Ramsom House supone un grave riesgo para los afectados.
Cómo se llevan a cabo los ataques cibernéticos y cómo prevenirlos
Un ataque cibernético, o ciberataque, consiste en una seria de acciones cuyos objetivos son destruir o comprometer los sistemas informáticos de una organización. También puede tener como objetivo el acceso ilegal o robo masivo de datos personales, en este caso se denomina cibervigilancia. Además, los ataques pueden ser llevado a cabo tanto por distintos actores, que se mueven por las motivaciones completamente diferentes:
- Personas – los denominados hackers – que actúan de forma independiente, generalmente motivados por un beneficio económico.
- Grupos organizados, con distintas finalidades, tanto criminales (terroristas), como ideológicas (activistas).
- Gobiernos, en ataques que se enmarcan dentro de una estrategia de ciberguerra, dirigidos tanto a sistemas informáticos de otros gobiernos o a importantes activos públicos o privados.
- Empresas privadas, en acciones de ciberespionaje.
El ciberataque sufrido en el Hospital Clínic de Barcelona fue un ciberataque de tipo ramsomware. El ramsomware es un tipo de malware normalmente se propaga normalmente a través de correos electrónicos de phishing y anuncios con enlaces infectados o sitios web falsos con malware incrustado. Los correos electrónicos de phishing suelen parecer enviados por una organización legítima o por alguien que conoce la víctima (en los ataques dirigidos), engañando al usuario para que haga clic en un enlace malicioso o abra un archivo adjunto perjudicial. Una vez que los archivos están bloqueados, el ransomware muestra una notificación en la pantalla del usuario, que le informa del secuestro de sus archivos y le exige que pague un rescate en una criptomoneda específica, para obtener la clave de descifrado.
El objetivo principal de los ciberdelincuentes es obtener beneficios financieros como ha ocurrido en el caso del Clinic a través del pago del rescate.
Cualquier organización está expuesta a sufrir un ciberataque, ya que es imposible estar totalmente protegido, pero sí que puede tomar algunas medidas para evitar robo de información. Estas medidas podrían ser: tener contraseñas complejas y diferentes entre diferentes plataformas y aplicaciones.
Además, otra medida que debe tener en cuenta cualquier compañía es activar procesos de doble verificación en todas las cuentas que se pueda. Estos procesos consisten en tener que introducir dos claves para entrar en una cuenta, la contraseña y, por ejemplo, un SMS que se envía al momento.
Asimismo, para evitar ser víctima de ransomware es importante evitar descargar archivos de fuentes desconocidas, mantener actualizado el software antivirus y hacer copias de seguridad regulares de los datos importantes en un lugar seguro y fuera del alcance de los ciberdelincuentes
¿Cómo se puede recuperar la información robada en un ciberataque?
Tras sufrir un ciberataque, existen algunas maneras de proceder para mitigar los efectos. Estas acciones encajarán dependiendo de su situación de su empresa.
- Asegure su red. Por lo general estos ataques involucran algún tipo de acceso del atacante a la red, por lo cual se recomienda realizar una revisión a todos los puntos de entrada a la red para buscar e identificar vulnerabilidades.
- Restaurar archivos desde la copia de seguridad. Si su sistema de prevención incluyó una copia de respaldo de sus archivos, usted puede reinstalar los dispositivos afectados. Debe asegurarse de no restaurar desde un disco de la misma red ya que algunos malware pueden identificar e infectar sus archivos de respaldo.
- Intentar recuperar archivos mediante sistemas de descifrado.
Además, tecnologías de ciberseguridad como EDR (del inglés, Endpoint Detection and Response) , XDR (evolución de EDR con funciones mejoradas) u otras herramientas SIEM (del inglés, Security Information and Event Management) permiten detectar este tipo de ataques, recopilarlos y emitir alarmas que permiten gestionar en tiempo real el ciberataque, minimizando el impacto del mismo.
En conclusión, desgraciadamente el Hospital Clinic de Barcelona sufrió un ataque complejo de realizar, pues se necesita un conocimiento técnico muy especializado para lograr acceder a los sistemas de información de una infraestructura crítica, aunque el software empleado podría haber sido detectado si se hubiese contado con las medidas de seguridad óptimas. Desgraciadamente, las consecuencias del ciberataque son muy negativas ya que la probabilidad de que se exponga públicamente la información robada es muy elevada.