Ola de hospitales colapsados por secuestros virtuales
Los ‘hackers’ venden historiales médicos por 250 dólares y piden rescates de seis cifras
La letalidad del Covid-19 está fuera de toda duda un año después del estallido de la pandemia. Europa y Estados Unidos han colapsado con la propagación del coronavirus más peligroso en décadas y por sus múltiples cepas con una altísima capacidad de transmisión. Por contra, en general se cree que los otros virus, los informáticos, solo afectaban al ciberespacio. Hasta ahora. Cibercriminales y servicios de Inteligencia de medio mundo dirigen la mayor parte de sus operaciones de secuestro virtual (‘ransomware’) y desinformación contra el sector de la salud y en concreto los lugares estratégicos en la lucha contra el Covid. ¿Por qué? Porque es donde está el dinero y –en plena carrera por las vacunas– el poder.
Con la presencia de la ex secretaria de Estado de EE.UU. Madeleine Albright, el instituto Cyber Peace, con sede en Ginebra, lanzó ayer un informe global que da cuenta sobre la multiplicación de los ataques cibernéticos al sector de la salud a lo largo del último año por la pandemia del Covid-19.
Instituciones relevantes para la lucha contra el Covid han sido afectadas por ciberataques recientemente▶ la Agencia Europea del Medicamento fue víctima el pasado diciembre de una operación de desinformación; el laboratorio de Moderna también sufrió ciberataques, supuestamente, a cargo de grupos vinculados al Gobierno chino en pleno desarrollo de la vacuna contra el Covid-19. Pese a no estar directamente implicado en la lucha contra la pandemia, Microsoft culpó la semana pasada a un grupo chino de ciberespionaje por los ataques a su software de servidor de correo. En su blog oficial, el gigante tecnológico sostenía que los piratas informáticos formaban parte de un grupo apoyado por un actor estatal «altamente cualificado y sofisticado».
Aunque desde Occidente se está apuntando principalmente a Rusia y China de los ciberataques, las fuentes consultadas sostienen que otros muchos países también podrían estar involucrados en algún tipo de ciberataques. El pasado abril, cibercriminales estaban vendiendo en la red profunda (Deep Web) el código fuente de una tecnología de detección del coronavirus procendente de una empresa de Pekín. La oferta incluía más de 1 GB de datos y se vendía por 4 Bitcoins. Las víctimas no solo son de carácter geopolítico, también lo sufren personas anónimas.
Muerte de pacientes
Como los centros médicos suelen estar liderados por personal médico, la ciberdefensa no está entre las principales prioridades presupuestarias. No hay un gasto adecuado en cortafuegos. El 87% del personal de ciberseguridad de hospitales sostiene que faltan recursos de forma urgente, según recoge el informe. «Es bastante simple▶ los cibercriminales quieren pasta. Los atacantes no solo atacan a hospitales a través de sus ordenadores sino también amenazan con filtrar datos personales de la gente. El precio medio de un historial médico para venderlo en la red profunda oscila entre 250 dólares y 400 dólares», explica a ABC Adrien Ogee, del Cyber Peace Institute y que ha trabajado para las Agencias de seguridad francesa (Anssi) y europea (Enisa).
En una sanidad esencialmente privatizada, como la estadounidense, la venta de ficheros privados supone un negocio multimillonario. «Hay países donde es bastante útil para conseguir seguros médicos. Saben lo que tiene valor para gobiernos, pacientes, hospitales y encuentran la forma de extraer estos datos. Al final sus fines lucrativos tienen un impacto tremendo en la salud de los seres humanos. Creemos que las consecuencias de la vida digital no afectan a la vida real, y no. El problema es que no hay suficiente intercambio de información entre hospitales. Los grupos que operan los ataques funcionan como una empresa, venden sus
operaciones como si fueran servicios, tienen línea de atención al cliente y ofertas que desde los 40 dólares hasta varios miles. Es un gran negocio».
El pasado septiembre, 250 hospitales de Universal Health Services (UHS), una de las compañías de servicios sanitarios y atención médica más poderosa del mundo, sufrieron un secuestro virtual. En concreto se trató de un secuestro virtual por Ryuk. A primera hora del 27 de septiembre, los cibercriminales se infiltraron en el sistema informático mediante un mensaje malicioso (’phishing’, uno de los métodos más empleados por su simpleza). Precisamente se sospecha que ha sido Ryuk el ransomware empleado para atacar el portal del Servicio Nacional de Empleo español (SEPE). A lo largo de la pandemia, hospitales españoles y aseguradoras como Adeslas han sufrido también ciberataques.
El secuestro y posterior colapso millonario de un organismo puede ser desencadenado por un trabajador cualquiera que accede a un informe ofrecido por los cibercriminales para tomar el control del sistema, si no se ha establecido un sistema de seguridad apropiado, cuenta a ABC el responsable de ciberseguridad de un centro médico de la costa este estadounidense. El pasado otoño, la Fiscalía alemana abrió una investigación sobre la muerte de una mujer como posible primera víctima mortal de un ciberataque en un hospital de Dusseldorf, que en mitad de un colapso rechazó su ingreso. El ransomware entró en la red del Hospital Universitario de la localidad alemana a través de una vulnerabilidad del servidor Citrix. En febrero, varios hospitales franceses sufrieron ataques precisamente por criptovirus Ryuk.
ANSSI sigue la pista de grupos vinculados
Empleado de Moderna, laboratorio desarrollador de una vacuna Covid
a la Inteligencia rusa, aunque la mayoría de estos ataques cibernéticos contra hospitales son liderados por grupos criminales que no necesariamente están vinculados a actores estatales. Según un informe reciente de la agencia francesa, hospitales y otras entidades del sector son uno de los principales objetivos de los cibercriminales. «Hemos cancelado masivamente. Tenemos problemas con las sesiones de radioterapia y oncología […] por no tener el expediente del paciente. [Estos] también serán redirigidos a todos los hospitales de la región o cercanos», alertó el presidente del consejo de supervisión del Hospital Dax (en el País Vasco francés), atacado el pasado mes.
«Cada día nos enfrentamos a potenciales ciberataques. Nuestro cortafuegos siempre detecta algo como correos maliciosos dirigidos a algunos usuarios del hospital», describe a ABC Martin Konir, director de información sanitaria de uno de los principales hospitales de Praga, que recuerda cómo el pasado abril varios hospitales checos sufrieron potentes ciberataques de actores estatales. Aunque no cuentan con una confirmación concluyente, todo apunta a grupos rusos. «Un hospital de Brno cayó con toda la base de datos y registros. Ahora mismo , por el coronavirus, ciberataques potentes en los centros pueden tener consecuencias muy graves», añade. Hasta la fecha, el ataque más agresivo contra centros médicos fue el del caso ‘WannaCry’, en 2017, afectando desde hospitales británicos a empresas como Telefónica. Desde el Cyber Peace Institute se recomienda no pagar nunca▶ por razones éticas y además porque sería ineficaz. En el último lustro, estos grupos han pasado de ganar 20.000 dólares hasta los 350.000 por rescate.
Delincuentes y Estados
El Covid ha multiplicado los ataques. Los agresores van desde ciberdelincuentes comunes hasta Estados