Sicarios del COVID-19: matan personas con un ataque informático

Seguramente, esto parezca sacado de algún capítulo con poca gracia de ‘Black Mirror’, pero la realidad es que ya se están tomando medidas para evitar situaciones de este tipo en hospitales: en el de Dusseldorf, por ejemplo, un ‘ransomware’ acabó con la vida de una paciente

Dick Cheney, vicepresidente de Estados Unidos, ordenó desactivar el wifi de su marcapasos para evitar cualquier manipulaciónGonzalo Pérez MataLa Razón

Sí, es posible asesinar a alguien mediante un ataque informático. Así de rotunda y directa resulta esta afirmación. No hace falta divagar si contamos con los medios necesarios para llevarlo a cabo o si éstos se encuentran al alcance de cualquiera de nosotros. En cualquier caso, la respuesta sigue siendo afirmativa. Seguramente, esto parezca sacado de algún capítulo con poca gracia de Black Mirror, pero la realidad es que ya se están tomando medidas para evitar situaciones de este tipo. Tan sólo tenemos que echar la mirada unos años atrás para darnos cuenta. En concreto, a 2008. Por aquel entonces, la revista Popular Science reveló algo que provocaría alguna que otra reacción política: investigadores de las universidades de Washington y Massachusetts (ambas en Estados Unidos) habían logrado piratear a distancia un marcapasos y, lo que es peor aún, manipular sus funciones. ¿Esto que quiere decir? Pues que, de esta forma, sería posible modificar sus velocidades hasta el punto de acelerarlo o detenerlo de golpe y acabar con la vida de su portador.

A esta misma conclusión tuvo que llegar Dick Cheney, vicepresidente estadounidense, que inmediatamente ordenó desactivar la conexión wifi del suyo propio para evitar una futura manipulación que pudiera matarle. Pero no es la única vía posible. Hay otras, incluso, que son más radicales. Así lo adelantó, poco después, Barnaby Jack, un famoso hacker neozelandés conocido por difundir formas de asesinar a un hombre a 10 metros de distancia interfiriendo electrónicamente en la bomba de insulina que le mantiene con vida. ¿Cómo? Provocando descargas eléctricas. Tras las polémicas declaraciones de Jack, que falleció en julio de 2013 justo antes de la celebración del Black Hat de Las Vegas, comenzaron a aparecer versiones similares, así como otras tantas que ponían en jaque a los sistemas de seguridad de hospitales y centros médicos. Tal es el caso de ciberdelincuentes que podían acceder a los historiales privados de cada paciente, conocer los fármacos administrados a cada uno de ellos y, posteriormente, cambiarlos por otros que pudieran afectar negativamente a su salud. Con el fin, claro, de provocar reacciones adversas e incompatibles con la vida.

Si bien es cierto que todo esto suena a ciencia ficción, la realidad es que a día de hoy existen grandes sistemas de protección en las instituciones sanitarias que hacen creer que las probabilidades de que estas situaciones se produzcan son muy escasas. Aunque lo últimos acontecimientos demuestran lo contrario: el pasado septiembre, los servidores del Hospital Universitario de Dusseldorf (Alemania) sufrieron un asalto ransomware que obligó a cerrar sus urgencias. Según publicó el diario nacional Bild, esto llevó a desviar a los pacientes a otras clínicas de la ciudad, entre ellos una mujer de 78 años que falleció poco después durante el traslado. El colapso informático estaba dirigido originalmente contra los ordenadores de la universidad de la ciudad, pero en su lugar afectó también a los equipos de la clínica, encriptando 30 de sus servidores. Rápidamente, la policía se puso en contacto con los piratas para que proporcionaran la clave que descodificara los sistemas. Al poco tiempo, la institución volvió a funcionar con normalidad, pero dejando la primera muerte registrada en todo el mundo como consecuencia de un ciberataque.

Otro caso similar aconteció el pasado septiembre, cuando la cadena estadounidense Universal Health Services también fue objetivo de los criminales. A través de un ransomware otra vez, impidieron al personal de 250 hospitales acceder a sus ordenadores, lo que les obligó a derivar a los pacientes a otras instalaciones por el riesgo que esto suponía. Este tipo de prácticas ya constituyen una prioridad para Estados Unidos, donde en 2019 se produjeron 764 agresiones digitales dirigidas a centros de atención médica. De hecho, según la empresa de anti-malware Emisoft, constituyen un “peligro extremo” para el país. Algo que también ha corroborado el experto en Seguridad de la Escuela de Asuntos Internacionales y Públicos de la Universidad de Columbia (Estados Unidos), Jason Healey, quien ha advertido en más de una ocasión de los peligros que supone su normalización y extensión. Sobre todo, en un momento como el que vivimos, en el que el COVID-19 ha llenado las unidades de cuidados intensivos (UCI) de personas con dificultades respiratorias y, por tanto, dependientes de un monitor.

Controlan los sistemas de navegación de los coches

Tan sólo hay que recordar las consecuencias que trajo consigo WannaCry hace tan sólo tres años. Este malware no sólo comprometió la seguridad de empresas como Telefónica o Deutsche Bahn, sino también el sistema de salud de todo Reino Unido. El National Health Service vio cómo, en cuestión de horas, tuvo que cancelar 20.000 citas y posponer 600 intervenciones quirúrgicas. La urgencia con la que se trasladó a los pacientes en estado crítico jamás se había visto con anterioridad, lo que no sólo trajo un coste psicológico sino también económico. El Gobierno británico cifró las consecuencias de esta ofensiva en 101 millones de euros, pero sin tener en cuenta que los daños morales que se produjo a los pacientes aún no se han podido calcular. Por aquella época, todo apuntaba a que el origen de semejante operación se encontraba en Corea del Norte, aunque tras varias investigaciones el foco se puso sobre Rusia. ¿Por qué? Se detectó que el país era fuente de un cibersalto mediante el programa Petya. Al parecer, el objetivo inicial era una empresa naviera ucraniana, pero algo se torció por el camino.

Dicho esto, no hay que perder de vista que muchos de los objetos que usamos habitualmente son susceptibles de ser manipulados a través de internet. El caso más extremo es el que demostraron, hace justo una década, un grupo de ingenieros de la Universidad de Birmingham: es posible abrir y arrancar coches ajenos sin necesidad de usar las llaves originales y, aún más, acceder a su sistema de navegación. Esto implicaría que un hacker con cierta maña podría acelerar y desacelerar el motor a su propio gusto, así como desactivar los frenos. A esta misma conclusión llegó, en 2015, la Agencia de Proyectos de Investigación Avanzada de Defensa del ejército de Estados Unidos. Durante este mismo periodo, el equipo de seguridad de la empresa de telecomunicaciones Cisco descubrió una vulnerabilidad en un software presente en la mayoría de los vehículos conectados a la red. Ésta permitía a los atacantes manipular el sistema operativo y controlar algunas funciones del mismo.

Los ciberataques más peligrosos de los últimos 10 años

  • 2010 | WikiLeaks. Fue en noviembre cuando se publicaron 251.287 telegramas diplomáticos intercambiados entre más de 250 embajadas de Estados Unidos y el Departamento de Estados del país. Dentro de esas filtraciones había más de 55.000 cables emitidos desde España o dirigidos a las delegaciones estadounidenses.
  • 2011 | PlayStation Network. Se expusieron nombres, correos electrónicos y datos de acceso de 77 millones de personas. Este embate provocó que el servicio de compra de juegos dejara de funcionar durante una semana. Además, la marca nunca descartó que los datos bancarios de sus usuarios hubieran sido robados.
  • 2013 | Target. Alrededor de 70 millones de clientes sufrieron el robo de su información personal y 40 millones también vieron cómo les sustraían sus datos bancarios. Lo que provocó que esta ofensiva fuera tan masivo es que los hackers infectaron el sistema de Target con un malware PoS, que afecta a los lectores de tarjetas de crédito y débito.
  • 2014 | eBay. Las cuentas de 145 millones de usuarios de eBay fueron robadas. Los criminales pudieron entrar en el sistema de la empresa a través del acceso no autorizado a las contraseñas de algunos empleados. Los atacantes se hicieron con nombres de clientes, contraseñas, direcciones, números de teléfono y demás datos personales.
  • 2017 | Uber. La empresa de transportes también fue objeto de un altercado que afectó a 57 millones de sus clientes. La propia compañía pagó a dos hackers 100.000 dólares para que eliminasen todos los datos robados y ocultasen el ciberataque. Éste también expuso información personal de siete millones de conductores.
  • 2018 | Cambridge Analytica. Ocurrió en el marco de las elecciones presidenciales de Estados Unidos de 2016, pero no fue hasta 2018 cuando la compañía de análisis de datos Cambridge Analytica mostró cómo el robo de 50 millones de perfiles de Facebook puede usarse en política para influir en el resultado de las elecciones.
  • 2019 | Facebook. Cerca de 419 millones de datos personales recogidos en la red social fueron almacenados en un servidor online sin proteger. A pesar de que estos no son tan sensibles como los financieros, los números de teléfono pueden ser utilizados para llevar a cabo campañas de spam, phishing o fraudes.