El Hospital Clínic de Barcelona ha confirmado una nueva filtración de datos secuestrados a principios de marzo con un ataque de tipo ransomware. Desde que el 30 de marzo apareció publicado el primer paquete de datos, el Clínic ya alertó de que se irían publicando otros nuevos. La entidad sanitaria y la Agencia de Ciberseguridad de Catalunya trabajan desde ese momento de forma coordinada y recuerdan que la publicación total o parcial de los datos es un delito.
El ataque tuvo lugar a principios de marzo y afectó a los servicios de laboratorio, farmacia y urgencias. Los responsables del hospital tardaron semanas en volver a restablecer todos los sistemas informáticos. Desde un primer momento aseguraron que no pagarían a los secuestradores por recuperar los datos.
En marzo los piratas informáticos agrupados en el colectivo RansomHouse publicó el primer paquete de datos y amenazó con difundir más si no recibían rescate. En ese momento aseguraron que tenían 4,4 Terabytes de datos y pidieron 4,5 millones de dólares para devolverlos.
Los Mossos d'Esquadra lograron bloquear el pasado 14 de abril el acceso de los ciberdelincuentes a los datos, pero dos días más tarde los ciberatacantes contraatacaban amenazando con publicar datos sobre pacientes con enfermedades infecciosas así como también sobre el uso de fármacos experimentales por a la gente mayor.
Dos días después, RansomHouse aseguraba que habían publicado más datos confidenciales con un enlace que permitía descargar toda la información. A través de diversas redes sociales facilitaban, además, detalles para realizar la bajada de forma anónima y segura, para no dejar rastro.
Mediante el canal de Telegram del grupo de ciberdelincuentes, el 27 de abril se aseguraba que había habido una nueva publicación de datos. Por esa misma vía publicaba los enlaces para descargar la información.
En paralelo, el 22 de junio la Autoridad Catalana de Protección de Datos (APDCAT) anunció la apertura de un expediente informativo al Clínic y sus entidades vinculadas para determinar si el hospital debe ser sancionado por incumplimiento de la normativa de protección de datos después de que éstos se filtraran a raíz del ciberataque.