Ciberataque al Hospital Clinic de Barcelona

Este domingo un ciberataque irrumpió en los sistemas del Hospital Clinic de Barcelona dejándolo inhabilitado y aún en estado de recuperación de la totalidad de sus sistemas. Nuestro Team Leader de Ciberseguridad, Miguel Ángel Castillo, nos cuenta las claves de este ciberataque en una entrevista para Computing.es:

¿Qué clase de ransomware ha afectado al Hopital Clinic de Barcelona?

Es difícil de precisar la variante de este Ransomware ya que el ataque ha sido efectuado recientemente y aún se está trabajando para reestablecer servicios críticos. Sin embargo, uno de los ransomware más utilizados para atacar a sistemas de sanitarios a nivel global es Ryuk, el cual utiliza técnicas de encriptación avanzadas para cifrar los archivos y datos en el sistema infectado. Es capaz de cifrar unidades locales y de red, y puede cifrar archivos incluso si están abiertos o en uso. Adicionalmente, debemos recordar que en noviembre de 2020, el sistema sanitario español sufrió un importante ataque de ransomware que afectó a varios hospitales del país. En ese ataque el ransomware desplegado fue Ryuk.

¿Consecuencias del ataque?

Tomando en cuenta que el objetivo de este ciberataque de ransomware es uno de los principales hospitales de Barcelona ya nos da cierta idea de la magnitud de las repercusiones. Sin embargo, lo podríamos calificar en dos áreas esenciales de repercusión: el área sanitaria, donde según las autoridades, paralizó el sistema informático del centro y obligó a cancelar 150 operaciones no urgentes y hasta 3.000 chequeos de pacientes. Por otra parte, el área IT, donde el ataque bloqueó el acceso a los archivos dentro de los ordenadores de los laboratorios, urgencias, farmacia del centro y varias clínicas externas.

¿Tiempo de recuperación?

De momento, aún continúan los trabajos para reestablecer los servicios IT críticos y se ha optado por brindar de forma manual los servicios médicos urgentes.

En líneas generales, recuperarse de un ataque de este tipo no es una labor sencilla, el primer paso es contener el ataque para evitar que siga propagándose. Posteriormente, se procede a reestablecer servicios críticos. En esta fase jugará un papel crucial la existencia de una buena política de backups, ya que la existencia de backups antes del ataque marcará la diferencia en la rapidez de recuperación.

Sanidad y ciberseguridad. ¿Cuál es la situación actual del sector sanitario?

La ciberseguridad en el cuidado de la salud es crucial ya que la industria es un objetivo principal para los ciberdelincuentes. Las organizaciones de atención médica almacenan grandes cantidades de información confidencial de los pacientes, incluidos registros médicos, información personal y en algunos casos detalles de pago, lo que las convierte en un objetivo atractivo para los ataques cibernéticos.

Adicionalmente, el tema de la ciberseguridad en las instituciones sanitarias es complejo debido a diferentes factores que se deben tomar en cuenta:

• Priorización de recursos económicos: la ciberseguridad ha dejado de ser un aspecto opcional en las organizaciones, especialmente aquellas que manejan información de usuarios. Sin embargo, en las instituciones médicas si manejan un presupuesto X y deben escoger entre la implantación de un sistema de monitorización o la contratación de médicos, definitivamente su elección sería la contratación de médicos para la plantilla

• Público al que va dirigido: uno de los sectores más sensibles a la digitalización de procesos es precisamente el sector sanitario, debido a que un número significativo de pacientes no manejan de forma fluida ciertos dispositivos electrónicos, algunos ni se plantean dejar de recibir sus analíticas o recetas en papel. Para este grupo significativo la digitalización representaría en cierta manera una exclusión del servicio sanitario.

• El paradigma de ver la salud como actividad y no como un negocio: este es un punto que posiblemente genera mayor controversia. Cuando hablamos de negocio no nos referimos netamente al tema capital, pero si al aspecto de responsabilidad que adquieren las diferentes partes que forman parte un negocio. Hablando con expertos del área sanitaria comentamos que hay palabras “prohibidas” en este sector, por ejemplo: negocio, cliente o ganancia. En este sector se prefieren utilizar palabras como actividad, público o beneficio. Sin embargo, nos preguntamos si sería negativo hablar de responsabilidad cuando una institución maneja información sensible de tantas personas, en ese punto es cuando la palabra negocio toma otro sentido que no es el meramente económico.

¿Esta situación ha mejorado desde la pandemia?

La situación no ha mejorado, de hecho, los números indican que han empeorado. El sector de la salud fue la industria más atacada por ransomware durante el tercer trimestre de 2022, con una de cada 42 organizaciones afectadas por ransomware a nivel global.

La pandemia fue un momento particular en el cual los ciberdelincuentes desarrollaron y depuraron sus técnicas de ataque. La inteligencia detrás de los diferentes malwares aumentó y en la misma dirección las instituciones sanitarias destinaron sus esfuerzos en contener la propagación del virus. Hoy en día aún las instituciones viven los efectos presupuestarios como consecuencia de la pandemia, lo cual los conduce priorizar mucho más los recursos económicos y definitivamente es un menor porcentaje el dirigido a la ciberseguridad en comparación al dirigido al gasto médico.

¿Es vulnerable el sector de la salud en España?

En los últimos años, el sistema sanitario español ha sido objeto de varios ciberataques importantes. Algunos ejemplos:

• Ciberataque enero de 2022: ciberataque que tuvo como objetivo todos los centros de salud públicos y hospitales de las Islas Baleares. Sin embargo, las autoridades no proporcionaron ninguna información sobre si los datos de los pacientes también llegaron a manos de los ciberdelincuentes como resultado del ataque.

• Ciberataque febrero de 2022: ciberataque en el Hospital Vall d’Hebron de Barcelona, el mayor centro sanitario de Cataluña. ¿El foco de ataque? La división de investigación.

• Ciberataque abril de 2022: La Guardia Civil evitó que unos ciberdelincuentes se apoderaran del sistema informático de un hospital granadino mediante un ataque masivo de ransomware.

• Ciberataque octubre de 2022: los hospitales El Dos de Maig en Barcelona, Moisès Broggi en Sant Joan Despí y el Hospital General in L’Hospitalet fueron víctimas de este mismo tipo de ataque, incluso el Moisès Broggi ha sido reincidente en este tipo de ataques.

• Ciberataque de diciembre 2021: El Hospital de la Reina de Ponferrada fue víctima de un ciberataque que le llevó a reconfigurar su sistema informático con la ayuda de una empresa especializada, después de denunciar ante la unidad de ciberdelincuencia de la Policía Nacional un ataque cibernético. Fue una acción de hackeo que perjudicó a una treintena de empresas, pero que no afectó los historiales clínicos de los pacientes.

• Ataque de ransomware de noviembre de 2020: en noviembre de 2020, un importante ataque de ransomware afectó a varios hospitales del sistema sanitario español. El ataque se llevó a cabo utilizando el ransomware Ryuk y causó una interrupción generalizada, con varias cirugías canceladas o pospuestas.

• Ataque de phishing de mayo de 2020: en mayo de 2020, el gobierno español informó de un ataque de phishing a gran escala dirigido a trabajadores sanitarios del país. Los atacantes utilizaron correos electrónicos de phishing para distribuir malware y robar datos confidenciales, incluida información personal y médica.

• Ataque de ransomware de abril de 2019: en abril de 2019, varios hospitales de España sufrieron un ataque de ransomware que cifró los archivos y los datos de sus sistemas. El ataque afectó hospitales en la región de Cataluña de España y causó una interrupción significativa en los servicios de atención médica.

• Ciberataque de octubre de 2018: en octubre de 2018, el gobierno español informó de un ciberataque dirigido a la página web de la Agencia Española de Protección de Datos (AEPD). El ataque fue llevado a cabo por el grupo hacktivista Anonymous y fue una respuesta al manejo de la agencia de un caso de protección de datos.

Estos ciberataques ponen de manifiesto la vulnerabilidad del sistema sanitario español frente a las ciberamenazas y la necesidad de mejorar las medidas de ciberseguridad para proteger los datos sensibles de los pacientes. El gobierno español ha tomado medidas para mejorar la ciberseguridad en el sector de la salud, incluido el establecimiento de un grupo de trabajo de ciberseguridad después del ataque de ransomware de noviembre de 2020.

¿Qué se puede hacer para mejorar esta situación?

Mejorar la ciberseguridad en el sistema sanitario español requiere un enfoque multifacético que aborde tanto factores técnicos como organizativos. Como Open3s, empresa de Innovery Group, sugerimos algunos pasos clave que se pueden tomar para mejorar la ciberseguridad en el sistema de salud español:

• Evaluación de riesgos
• Establecer políticas y procedimientos de ciberseguridad
• Capacitación de los empleados
• Controles de acceso
• Actualizaciones y parches regulares de software
• Copias de seguridad periódicas
• Segmentación de la red
• Plan de respuesta a incidentes
• Programa de inclusión al público no familiarizado con el mundo digital.

Este ataque es un recordatorio de la importancia de proteger nuestros sistemas informáticos y contar con medidas de seguridad adecuadas para estar siempre preparados ante posibles amenazas. Si bien puede requerir una inversión adicional en ciberseguridad y un cambio en la forma en que abordamos la atención sanitaria, como una actividad con responsabilidad sobre información sensible, debemos estar preparados para hacer frente a estos tipos de ataques. ¡No esperemos a que sea demasiado tarde para tomar medidas preventivas!

También te puede interesar nuestro artículo: El precio de un ciberataque: ¿qué sale más a cuenta, protegerse o pagar el ransom?