Internet

«Sabemos que tienes sida, páganos 100.000 euros»

Enfermos y hospitales son los nuevos objetivos de los cibercriminales. Secuestran sus datos clínicos para extorsionarles. Un bufete español trabaja para siete organismos que ya han sufrido estos ataques. Uno de ellos es una clínica de estética

«Sabemos que tienes sida, páganos 100.000 euros»
«Sabemos que tienes sida, páganos 100.000 euros»larazon

Enfermos y hospitales son los nuevos objetivos de los cibercriminales. Secuestran sus datos clínicos para extorsionarles. Un bufete español trabaja para siete organismos que ya han sufrido estos ataques. Uno de ellos es una clínica de estética

¿Un cibervirus puede llegar a «matar» a un paciente? La respuesta es sí. Los hospitales y los centros sanitarios se han convertido en uno de los nuevos objetivos de los «piratas» informáticos. Saben que la protección de los historiales clínicos y de los datos personales son extremadamente valiosos. Y ya están sacando beneficio de ello. Así, la ciberseguridad se sitúa en el segundo puesto dentro del «Top 10» de los retos tecnológicos a los que se enfrenta el sector salud en este año. Y es que tras la alerta que emitió la FDA (Agencia del Medicamento norteamericana) tras el hackeo de una bomba de infusión y del pirateo de varios dispositivos médicos, todo el sector está en alerta.

Puede que creamos que estas situaciones no nos tocan, que están alejadas de nuestro país, pero, todo lo contrario, en España ya están ocurriendo. Como indica tajante Pablo Burgueño, socio fundador de Abanlex (bufete puntero en Derecho tecnológico): «El secuestro de datos en centros sanitarios ya se está dando en España». Es más, su firma ya ha llevado siete casos relacionados con la ciberdelincuencia sanitaria. Aunque no puede revelar sus nombres –«si se hicieran públicos podrían enfrentarse a una multa de hasta 600.000 euros por incumplir la normativa de protección de datos», explica el letrado– sí que puede decir que algunas sedes de la Administración pública relacionadas con el Sistema Nacional de Salud se han visto afectadas, así como un clínica de cirugía estética. «Podríamos decir que existen varios miles de afectados por estas intromisiones y que sus expedientes y datos clínicos han podido caer en manos no deseadas». ¿Cómo dañan los «hackers» a estos organismos? Muy sencillo: secuestran sus bases de datos y juegan con esta información.

Todo comienza con un «inocente» e-mail. «Los más habituales ahora mismo son dos. Uno que se hace pasar por Endesa y otro que suplanta a Correos», explica Burgueño. Es lo que se conoce en el mundo del cibercrimen como «cryptolocker», un «malware» que entra en los ordenadores de un forma engañosa, haciendo creer al receptor del correo electrónico que le escribe una de estas empresas. «Las personas que no conocen este modo de pirateo pinchan en el enlace o se descargan el PDF que les indican y permiten que el cibercriminal se cuele en su ordenador», describe el experto. Una vez se hacen con el sistema, bloquean todos los datos y encriptan la información. «Cuando el usuario intenta entrar en algo, hasta las fotografías están bloqueadas, le aparece una ventanita solicitando el rescate. «Cuando los ataques van dirigidos a individuos las cuantías que demandan no suelen ser muy elevadas, suelen pedir 299 euros para recuperarlos, pero esa cantidad va subiendo a medida que la información secuestrada es más relevante», subraya el jurista. En el caso de los centros sanitarios en los que la información es mucho más delicada, «no sólo chantajean al organismo al que han logrado encriptar los datos, sino que se guardan las bases de datos para, días o meses después, también chantajear a los pacientes cuyos datos médicos pueden ser muy delicados». Y pone un ejemplo: «Son conscientes de que pueden estafar a personas famosas o de reconocido prestigio y si se da el caso de que tengan alguna enfermedad juegan con ello: ‘‘Sabemos que tienes sida, páganos 100.000 euros’’. Y muchos pagan».

Otra de las condiciones que exigen estos cibercriminales es que los pagos se realicen en bitcoins (moneda virtual) para que la Policía no pueda seguir su rastro. Y su mecanismo de extorsión está tan bien montado que «ellos mismos te van indicando qué pasos debes seguir para adquirir esta moneda. Te indican un correo al que puedes escribir si tienes dudas e, incluso, ponen a tu disposición un ‘‘teléfono del infectado’’». Y es que España, como indica el especialista «es, ahora mismo, uno de los países más afectados por este tipo de ataques en el mundo. Antes, los emails no nos engañaban con tanta facilidad porque estaban mal escritos o llegaban en otro idioma, pero se han profesionalizado mucho».

Por todo esto, el 90 por ciento de las empresas del sector salud consideran que la ciberseguridad se ha convertido en prioridad. Y es que en uno de cada diez casos ha sido el propio paciente el que ha detectado el fallo de seguridad. Cuando se detectan estas intromisiones, las consecuencias también afectan directamente al enfermo ya que muchos de los tratamientos para los que son indispensables la tecnología se ponen en suspenso.

Uno de los primeros ejemplos de este tipo de ataques se produjo hace un año, en Estados Unidos. Los piratas secuestraron los datos de la aseguradora Premera BlueCross con lo que se hicieron con la información sanitaria, las fechas de nacimiento y todos los números de DNI de cerca de un millón de personas que tenían contratado este servicio. El FBI se hizo cargo del caso.

Hace apenas unos meses, en el seno de la UE se ha aprobado el Reglamento Europeo en Materia de Protección de Datos que tendrá que estar en vigor en todos los países miembros antes de mayo de 2018. Esta nueva normativa va a implantar sanciones aún más elevadas y se considerará obligatorio hacer público cualquier posible brecha de seguridad. Lo que, obviamente, puede afectar mucho a la reputación del organismo que la sufra. En dos años no habrá opción de esconder estos incidentes, a diferencia de lo que está ocurriendo ahora.

Ataques reconocidos

- 80 millones de datos, al descubierto.

En enero de 2015, Anthem, una de las mayores aseguradoras de salud de EE UU sufrió un grave ataque informático. El «hacker» robó los datos de la Seguridad Social de 80 millones de asegurados.

- Expedientes sin encriptar

También en Estados Unidos, los piratas cibernéticos consiguieron acceder a 4,5 millones de expedientes de pacientes sin encriptar, en julio de 2015.

- Un año sin recuperar los datos.

La firma Premera Blue Cross ha perdido, desde marzo de 2015, los registros de más de once millones de pacientes en los que se incluyen sus números de identidad y sus fechas de nacimiento.

- Cuatro hospitales atacados.

Centros sanitarios de referencia en Ottawa, Washington, Kansas y Hollywood han sido víctimas de ataques durante este año. Él último tuvo que pagar 17.000 dólares en bitcoins para recuperar su expedientes, aunque en un primer momento les exigían 3,6 millones de dólares.

- Ataque a la mutua de la Policía Nacional

A principios de este mes, la Mutualidad de Previsión Social de la Policía sufrió un ciberataque de Anonymus que hizo públicos los datos personales de 5.400 funcionarios.