“Nos están midiendo”: los ataques contra Defensa, hospitales y grandes empresas preocupan a la ciberseguridad española
El viernes 17 de enero, el Hospital Universitario de Torrejón quedaba paralizado por un ataque informático. Casi dos semanas después, el centro sanitario de referencia para los más de 131.000 habitantes de esta localidad situada a 20 kilómetros de Madrid aún trabaja para recuperar la normalidad: este lunes el hospital conseguía rescatar su sistema de citas automatizadas, pero otros tantos permanecen inactivos. Aunque no se vio obligado a trasladar pacientes a otros centros, la ofensiva colapsó por completo el sistema informático del hospital.
En los últimos tres meses España ha visto caer víctimas de ciberataques a grandes empresas como Everis, Prisa Radio (matriz, entre otras, de la Cadena Ser) o Prosegur. Unos meses antes, en febrero de 2019, salía a la luz un ciberataque contra el Ministerio de Defensa. Los atacantes pasaron al menos tres meses en los sistemas del Ministerio antes de ser descubiertos. Buscaban, según la explicación oficial, secretos de la industria de armamento española.
En el caso del Hospital de Torrejón, la investigación continúa abierta. Se desconoce el origen o el propósito del ciberataque. “No se ha recibido petición de rescate por la información ni se tienen evidencias de sustracción de datos”, ha informado la dirección del centro en un comunicado. “La investigación parece indicar que el origen de esta situación fue un virus, similar al que han tenido otras entidades públicas y privadas en el pasado”, explica el Hospital, de titularidad pública aunque de gestión privada.
Fuentes del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) del Ministerio del Interior coinciden en la versión ofrecida por la empresa gestora. “En los últimos meses se han visto afectadas diversas entidades, correspondientes a distintos sectores estratégicos y empresariales, por incidentes similares”, explica un portavoz del CNPIC a eldiario.es. Parece descartado, eso sí, que fuera una ofensiva centrada en infectar hospitales y centros sanitarios, considerados uno de los eslabones más débiles de la ciberseguridad.
“Con la información de la que disponemos en este momento, se puede inferir que no se trata de una campaña dirigida de forma específica al ”Sector Sanitario“, sino que estaría comprendida dentro de una campaña más general de ransomware cuyo objetivo es infectar al mayor número posible de equipos sin discriminar objetivos”, continúan desde el CNPIC, encargado de coordinar la respuesta ante ciberataques a infraestructuras críticas, como los hospitales.
La “campaña de ransomware” que menciona el CNPIC es una preocupación creciente en el sector de la ciberseguridad española. Varios expertos en este campo consultados por eldiario.es, responsables de la protección de los sistemas informáticos de diversas empresas e instituciones, apuntan a que la cadena de ciberataques sigue una estrategia: “Nos están midiendo para ver cómo respondemos”, señala uno de estos expertos, que prefieren permanecer en el anonimato por sus cargos en empresas privadas. “Es muy probable que los ataques estén relacionados y que sean un experimento para medir nuestras capacidades”, detalla.
“No parece que vengan de un único grupo, sino de varios con el mismo objetivo”, añade otra fuente del sector de la ciberseguridad. “Lo que no podemos descartar es que sean grupos estatales”, continúa el mismo experto.
Los grupos de ciberatacantes patrocinados por estados son la amenaza número uno para España en el terreno virtual, alerta el Centro Criptológico Nacional (CCN, dependiente del Centro Nacional de Inteligencia) en su informe anual de 2019. El CCN es el organismo encargado de la ciberseguridad del sector público, aunque todas las instituciones coinciden a la hora de destacar esta amenaza: “Hay organismos especializados en ciberatacar, con sus horarios de trabajo, cuyos trabajadores fichan, entran a las 9, salen a las 7 y los fines de semana no trabajan”, exponía en una entrevista con este medio Rosa Díaz, directora del Instituto Nacional de Ciberseguridad, encargado de apoyar al sector privado.
China, Irán, Rusia o Corea del Norte son los sospechosos habituales en este campo de batalla virtual, en el que es muy difícil llegar a desentrañar quién es el autor real de una ofensiva. Para dificultarlo se dejan pistas falsas o se camufla el objetivo real del ataque con varios golpes paralelos. No obstante, las fuentes consultadas apuntan a que hay varios puntos de encuentro en las últimas infecciones que ha sufrido España.
Patrones comunes en los ataques
Dejando a un lado el ciberataque contra el Ministerio de Defensa, las fuentes del sector de la ciberseguridad contactadas por este medio apuntan dos motivos por los que creer que hay una estrategia detrás de la cadena de infecciones de los últimos meses. Una es el virus utilizado (siempre variantes del malware conocido como Ryuk) y otra el método de infección (phishing “super-dirigido”).
“Sabemos que es Ryuk. Entró vía email el viernes”, asegura una de estas fuentes sobre el ciberataque contra el Hospital de Torrejón. Ese mismo viernes 17 saltó la alarma entre los grupos de responsables de ciberseguridad, siempre atentos a estas infecciones para evitar que el virus salte de una empresa a otra y se extienda por toda la red. El sábado siguiente la noticia de que Ryuk había vuelto a aparecer y había tumbado los sistemas del centro sanitario corrió como la pólvora en el sector, aunque no saltó a la prensa hasta el martes por la noche.
Ryuk es un virus de tipo ransomware, que se caracterizan por cifrar los archivos de la víctima impidiendo el acceso a ellos. A cambio de la clave para liberarlos, los atacantes suelen pedir un rescate. Aunque desde el CNPIC afirman que es pronto para “confirmar” que Ryuk esté detrás del ciberataque al Hospital de Torrejón, reconocen que “es cierto que las últimas campañas de ransomware realizadas sobre Operadores Críticos y de Servicios Esenciales, y que fueron gestionadas por la Secretaría de Estado de Seguridad del Ministerio del Interior han correspondido, en su mayoría, con variantes de este malware”.
Otro de los patrones comunes, la infección vía phishing “super-dirigido”, preocupa especialmente a los ciberexpertos. Lejos de los correos electrónicos que emplean un castellano macarrónico paraintentar estafar a la víctima recurriendo a falsas ofertas extraordinarias o alertas bancarias inexistentes como gancho, el conocido como phishing “super-dirigido” consiste en personalizar al máximo el email que contiene el enlace al virus. No se envían miles de correos electrónicos a ver si alguien cae, sino que se escoge cuidadosamente al objetivo, un eslabón especialmente vulnerable del sistema, y se diseña un anzuelo a su medida. Este método de infección es una prueba de que hay alguien invirtiendo esfuerzo y recursos para contagiar las instituciones públicas y empresas estratégicas españolas que han caído víctimas de los ciberataques.
Los organismos de ciberseguridad españoles no han elevado una alerta destinada al usuario medio o a los trabajadores ante esta campaña de ransomware. Las fuentes consultadas explican que prevenir y concienciar ante estas amenazas es, de momento, la mejor solución. “Estar preparados para cuando llegue la crisis (llegará), formar y entrenar al usuario”, resume uno de los expertos en ciberseguridad, que aconseja “eliminar el correo electrónico, acabar con él”. Esta recomendación, que ya han seguido algunas grandes empresas alrededor del mundo, destrona el email como método de comunicación interna a cambio de otros sistemas que, aunque no sean intrínsecamente más ciberseguros, sí dificultan que un actor exterior los use para infectar un objetivo concreto.
8