El ciberataque al Hospital Clínic dispara las alarmas del sistema sanitario

El pasado 5 de marzo saltaron las alarmas en el Hospital Clínic de Barcelona, cuando sus unidades de urgencia, laboratorio y farmacia fueron víctimas de un ciberataque de tipo “ransomware” (secuestro de datos). Todavía hoy, las consecuencias de lo ocurrido siguen afectando a miles de pacientes y trabajadores, y todo apunta a que hará falta mucho más tiempo para que los servicios habituales se restablezcan por completo. Además, por si fuera poco, el hospital reconocía ayer, en su primer comunicado oficial, que "se podría haber comprometido la confidencialidad de los datos de pacientes y trabajadores".

El resultado de esta acción, que según las últimas informaciones podría estar relacionada con un posible robo de datos sobre ensayos contra el cáncer y enfermedades autoinmunes que los ciberdelincuentes pretenderían vender a terceros después, fue inminente: se desprogramaron más de 2.300 consultas externas, más de 100 cirugías no urgentes y otras tantas extracciones; se aplazaron las sesiones de radioterapia; se derivaron algunos servicios especiales a otros hospitales de la ciudad condal; y los trabajadores, todavía hoy, siguen sin poder acceder a internet.

“Nuevos” delitos

Mientras los delitos convencionales, según el último Balance de Criminalidad que elaboran anualmente las Fuerzas y Cuerpos de Seguridad del Estado, están experimentando un leve descenso, estamos ante un momento de auge total de otro tipo de crímenes: los ciberdelitos.

Los ciberdelincuentes saben perfectamente cuáles son los ámbitos en los que deben centrar su actividad para conseguir su objetivo, que está vinculado a la recaudación de importantes sumas de dinero. Por ello, no es casualidad que Administraciones Públicas (véase el reciente intento de hackeo a Hacienda) y hospitales estén en el centro de la diana. Estos últimos, además, se vieron obligados a acelerar la digitalización de sus servicios durante la pandemia de la Covid-19, lo que inevitablemente ha supuesto una mayor oportunidad para recibir ataques a través de la red.

Los hackers son conscientes de que, al haber en juego vidas humanas, el apresuramiento por solventar los daños es mayor, y por eso se centran en este sector, puesto que pueden pagarles con más probabilidad. En este caso concreto, el rescate que han pedido los ciberdelincuentes asciende a los 4,2 millones de euros. Sin embargo, el Gobierno catalán ha asegurado que no va a negociar “con piratas informáticos”.

Los pasos que debe seguir ahora el Clínic son confusos y están llenos de dificultades. La primera de ellas pasa por que, a día de hoy, y según han explicado desde Barcelona, se desconoce qué datos han caído en manos de los ciberdelincuentes, ya que el disco duro del hospital sigue bloqueado. Otra cuestión clave y que por ahora se desconoce es cómo de preparado estaba el Clínic para enfrentarse a un ataque de esta envergadura, y cuáles eran las características de su “backup”: si hay copias de seguridad y desde cuándo.

Néstor Carriba, director de Canales y Alianzas de Aiuken Cybersecurity, multinacional española experta en ciberseguridad, explica a LA RAZÓN que “las soluciones de backups y de recuperación inmediata son muy interesantes y necesarias, porque en casos como éste, aunque se pierdan algunas horas de trabajo, sirven para que no se convierta en un drama”.

Sin embargo, según la experiencia de Carriba, “el estado de madurez de la seguridad en los hospitales de España, en general, tiende a ser bastante bajo. Los recortes presupuestarios y la dedicación de las partidas a otros cometidos hacen que el estado de las medidas de protección sea insuficiente. También la falta de manos para acometer la mitigación de las vulnerabilidades y la falta de concienciación hacen que el cocktail sea perfecto para que sigamos viendo ataques como este cada vez con más frecuencia”.

En 2022, más de la mitad de las empresas del sector sanitario recibieron un ataque, y todo apunta a que esta cifra crecerá exponencialmente en 2023. “El año pasado hubo más de 200 ataques con un nivel de peligrosidad muy alto y actualmente hay una campaña orquestada para atacar este tipo de organismos”, aseguran desde Aiuken, haciendo hincapié también en que “los datos que se manejan en este tipo de instituciones son de los catalogados como sensibles, puesto que son biométricos, documentos relacionados con la salud, con la orientación sexual y de importancia para la privacidad del individuo. Por eso han de ser almacenados y tratados con mucho mayor cuidado que otros”.

Al margen de esto, los ciberdelitos pueden afectar directamente al cifrado de determinadas máquinas destinadas a tratamientos o cuidados paliativos o de enfermos graves, que pueden poner en peligro la vida de los pacientes e, incluso, producir muertes. Un hecho como este ya ocurrió en el Hospital Universitario de la Universidad de Düsseldorf (Alemania) en septiembre de 2020. “Que las máquinas tengan brechas hacen que sea muy sencillo el poder colarse dentro de la red hospitalaria y realizar acciones maliciosas una vez dentro. Cuando se ha logrado esto, lo habitual es ejecutar algún tipo de malware de secuestro de datos o ransomware”, explica el director de Canales y Alianzas de Aiuken.

Millones de euros en juego

Néstor Carriba también calcula que, de media, los ciberdelincuentes consiguen unos 20.000 euros por ataque, “aunque en función del tamaño de la compañía esta cifra podría ser ostensiblemente superior, llegando a los millones de euros en algunos casos”, matiza. De todas las organizaciones atacadas por los hackers durante el año pasado, el 64% de ellas pagó un rescate: “Esto es un problema serio porque muchas empresas acabarán pagando un segundo o múltiples rescates a posteriori, luego la cifra se incrementa exponencialmente. Y con esto, al final, se financian este tipo de actividades fraudulentas”, apunta.

Desde Aiuken vienen desde hace tiempo reclamando la necesidad de ponerse al día en materia de ciberseguridad, y más ahora, con los fondos Next Generation. “La tecnología crece, y cada vez está más presente en organizaciones en las que, hasta hace relativamente poco, no tenía tanta importancia, como es el caso de las instituciones públicas o sanitarias. Este avance tecnológico trae un sinfín de mejoras, pero si no viene acompañado de un cambio y de una inversión potente en ciberseguridad, estamos condenados a retroceder en el progreso”, concluyen.