Las dudas se acumulan en torno al ciberataque que ha tumbado el Hospital Clínic de Barcelona, uno de los más importantes de Catalunya. El centro ha tenido que suspender 150 cirugías no urgentes, 3.000 visitas a consultas externas y unas 500 analíticas tras ver cómo su sistema informático era secuestrado por un grupo de ciberdelincuentes este domingo. Su director médico y el responsable de la Agència de Ciberseguretat de Catalunya han comparecido este lunes para explicar cómo se produjo el ataque y el grado de afectación del centro, pero sus explicaciones han generado aún más incertidumbre entre los especialistas.
El principal reparo se centra en la autoría de la acción. Este tipo de ciberataques se caracteriza por ser extremadamente difícil de rastrear y atribuir. Esto se debe a la complejidad técnica de desenmascarar a los cibercriminales, pero también a las pistas falsas que estos dejan para confundir a las fuerzas de seguridad. Pese a ello, la Generalitat ha señalado al grupo RansomHouse como el responsable del ataque menos de 24 horas después de iniciar la investigación.
RansomHouse es uno de los grupos de ciberdelincuentes más activos en los últimos meses, con unas 30 víctimas confirmadas desde diciembre de 2021. Sin embargo, hay algo que no encaja en su supuesta ofensiva contra el Clínic: hasta ahora, RansomHouse no había secuestrado los archivos de ninguno de sus objetivos. De hecho, no llevar a cabo este tipo de acciones es una de sus banderas, explican varios especialistas a elDiario.es.
Con esta acción, el grupo habría pasado de un extremo a otro. De no paralizar nunca los sistemas de sus víctimas a tumbar una infraestructura crítica como un hospital, dejando miles de pacientes en vilo. “No es su modus operandi. Esta gente no secuestra los archivos; sino que los roba y los vende a terceros o cobra un chantaje a cambio de no hacerlo”, expone Jorge Coronado, director de Quantika14, una firma de ciberseguridad española especializada en el análisis forense digital que lleva varios meses siguiendo la pista a RansomHouse. “Si hubiesen sido ellos y hubieran utilizado su habitual modus operandi, no hubieran impedido que el hospital continuase su actividad”, expone.
Otros expertos consultados por este medio coinciden con esta valoración. “Efectivamente, RansomHouse se jacta de no utilizar las técnicas de cifrado de ficheros habituales en los ataques de ransomware. Por el contrario, afirman limitarse a demostrar las vulnerabilidades y deficiencias en el sistema de protección de las empresas mediante el robo de información que luego amenazan con publicar en caso de no recibir un pago”, resume Miguel López, director general de Barracuda Networks.
“Ellos se justifican diciendo que acceden a los sistemas de las empresas porque descubren que tienen vulnerabilidades de seguridad, pero que no secuestran los archivos. Entran pero no tiran el ransom”, insiste Coronado.
Pese a ello, la Generalitat asegura que la ofensiva que ha sufrido el Clínic es un ataque de ransomware y que viene de RansomHouse, han explicado Tomàs Roy, el director de la Agència de Ciberseguretat de Catalunya, y Sergi Marcén, secretario general de Telecomunicaciones del Govern. El resultado es que el hospital no ha perdido los datos de los pacientes, pero no puede acceder a ellos. Tampoco sabe cuándo podrá hacerlo, ya que no va a satisfacer el rescate que habrían solicitado los agresores para levantar el bloqueo de los archivos. “No pagaremos ni un céntimo”, ha dicho Marcén.
Consultada por las dudas de los especialistas sobre la participación de RansomHouse, fuentes de la Agència de Ciberseguretat de Catalunya aseguran a este medio que el organismo “no tiene ninguna duda” acerca de la autoría. “Estamos seguros de que son ellos”, insisten fuentes oficiales, que explican que no pueden compartir las evidencias que apoyan esta tesis sin comprometer aún más la ciberseguridad del hospital.
Durante la rueda de prensa, Sergi Marcén ha expuesto que los atacantes “utilizan una tecnología bastante avanzada” y “nuevas técnicas” que están dificultando la recuperación de los archivos. “La historia clínica compartida, que es el sistema de información de todos los ciudadanos, no se ha visto comprometida. Este se encuentra en los servidores de la Generalitat de Catalunya y en este caso lo que se ha atacado han sido los servidores virtuales del hospital”, ha informado.
Por el momento, las versiones no cuadran. “En este caso, y por la información suministrada por la víctima, parece que sí que ha habido cifrado de la información pero desconocemos si esto puede deberse a un cambio de operativa por parte de RansonHouse, a algún error en la información suministrada por la entidad atacada o bien a que el grupo atacante pudiera ser algún otro”, dice López, de Barracuda Networks.
Las incongruencias entre lo ocurrido en el Clínic y cómo se ha comportado RansomHouse hasta ahora no se quedan en el secuestro de los archivos. Las prácticas de este grupo incluyen darle mucha publicidad a cada uno de sus ciberataques exitosos, con el objetivo de que todo aquel que pueda estar interesado en la información robada se entere de que esos datos están ahora en su poder. Esto también aumenta la presión sobre la víctima para que pague. Los cibercriminales utilizan para este fin su portal en la web oscura e incluso su canal de Telegram. Sin embargo, ninguno de ellos ha publicado nada sobre el ataque al centro sanitario catalán al cierre de esta información.
“Es algo muy raro, porque con un hospital estamos hablando de una base de datos con un valor incalculable. Me extraña mucho que si hubiesen sido ellos no lo hubiesen comunicado”, expone Coronado. “Podría ser que fuera porque todavía están negociando, pero también sería raro porque el director ha dicho que no van a pagar”, recuerda.
“Era un coladero”
Desde la Generalitat se ha explicado que el ciberataque proviene “del extranjero”, e incluso una parte de la prensa catalana ha avanzado que los expertos de ciberseguridad del Govern ya miran hacia Rusia. No obstante, RansomHouse no está encuadrado por los especialistas como uno de los grupos que actúan contra el mundo occidental auspiciados por el Kremlin. Al contrario, uno de los puntos que los investigadores conocen sobre ellos es que el lenguaje interno del grupo es el inglés.
Los datos que han aflorado tras la paralización del hospital apuntan a que este podría haber sido muy vulnerable a los ciberataques. Según expone Coronado a elDiario.es, una auditoría llevada a cabo este lunes ha mostrado que las contraseñas de más de 100 correos electrónicos pertenecientes al personal del Clínic han sido publicadas en los últimos años en Internet en varias filtraciones. A esa cifra habría que sumar aquellos correos comprometidos pero cuya contraseña está en poder de ciberdelincuentes y no se ha publicado en abierto en la red.
“Se encuentran centenas de leaks con contraseñas y datos de clientes. Es muy posible que el hospital haya sufrido varios ataques informáticos a lo largo de los últimos años y hayan robado sus datos. Era un coladero”, alerta este especialista. elDiario.es ha preguntado a la Agència de Ciberseguretat de Catalunya sobre este extremo, pero no ha recibido una respuesta al cierre de esta información.
Miguel López, de Barracuda Networks, explica que este alto número de contraseñas expuestas no tendría por qué haber supuesto un agujero de seguridad si el hospital tomó las contramedidas adecuadas. “Por desgracia la existencia de contraseñas filtradas en bases de datos disponibles para los ciberatacantes es muy amplia y prácticamente cualquier empresa va a tener un número notable de usuarios cuyas credenciales pueden haber sido expuestas”, advierte.
“En este sentido cabría preguntarse si la entidad contaba con las herramientas de protección suficientes, ya que, de haberlas tenido, la mera existencia de credenciales expuestas no hubiera sido suficiente para lograr acceso a los sistemas. Es importante recalcar la necesidad de contar con herramientas de análisis forense y respuesta ante incidentes, sistemas de autenticación multifactor, formación de usuarios, inteligencia artificial aplicada a los flujos de correo, entre otros medios, para poder prevenir este tipo de ataques”, concluye el mismo experto.
Los ciberataques a hospitales se han multiplicado en los últimos años. La alarma social que genera la paralización de las infraestructuras sanitarias y el alto valor de los datos médicos las convierten en un jugoso objetivo para los ciberdelincuentes. Sin embargo esto también ha provocado que muchos grupos los consideren una línea roja para no convertirse en un objetivo prioritario de las fuerzas de seguridad.