Miguel Ángel Castillo, Cybersecurity Team Leader de la compañía de servicios y soluciones TI Innovery España, y Francisco Valencia, CEO de la compañía de ciberseguridad Secure&IT, responden a nuestras preguntas acerca del ataque de ransomware recibido por el Hospital Clínic de Barcelona hace dos días.
¿Qué clase de ransomware ha afectado al Hospital Clínic de Barcelona?
Miguel Ángel Castillo (M.A.C.): Es difícil precisar la variante de este ransomware, ya que el ataque ha sido efectuado recientemente y aún se está trabajando para reestablecer servicios críticos. Sin embargo, uno de los ransomware más utilizados para atacar a sistemas de sanitarios a nivel global es Ryuk, el cual utiliza técnicas de encriptación avanzadas para cifrar los archivos y datos en el sistema infectado. Es capaz de cifrar unidades locales y de red, y puede cifrar archivos incluso si están abiertos o en uso. Además, debemos recordar que en noviembre de 2020, el sistema sanitario español sufrió un importante ataque de ransomware que afectó a varios hospitales del país, en ese ataque el ransomware desplegado fue Ryuk.
¿Qué consecuencias ha tenido el ataque?
M.A.C: Tomando en cuenta que el objetivo de este ciberataque es uno de los principales hospitales de Barcelona, ya nos da cierta idea de la magnitud de las repercusiones. Sin embargo, lo podríamos calificar en dos áreas esenciales de impacto. Por un lado, el área sanitaria, donde según las autoridades, paralizó el sistema informático del centro y obligó a cancelar 150 operaciones no urgentes y hasta 3.000 chequeos de pacientes. Por otra parte, el área IT, donde el ataque bloqueó el acceso a los archivos dentro de los ordenadores de los laboratorios, urgencias, farmacia del centro y varias clínicas externas.
¿Cuánto tiempo han tardado en recuperarse?
M.A.C: De momento se sigue trabajando para reestablecer los servicios IT críticos y se ha optado por brindar de forma manual los servicios médicos urgentes. En líneas generales, recuperarse de un ataque de este tipo no es una labor sencilla. El primer paso es contener el ataque para evitar que siga propagándose. Posteriormente, se procede a reestablecer servicios críticos. En esta fase jugará un papel crucial la existencia de una buena política de backup, ya que la existencia de copias de seguridad previas del ataque marcará la diferencia en la rapidez de recuperación.
El sector de la salud fue la industria más atacada por ransomware durante el tercer trimestre de 2022
¿Qué beneficio sacan los ciberdelincuentes de este tipo de ataques al sector sanitario?
Francisco Valencia (F.V.): Los ciberdelincuentes que buscan rentabilidad lanzan ataques a los sectores que van a pagarles con mayor probabilidad. La urgencia y criticidad por recuperar los datos, hacen que la Administración Pública, la Industria y la Sanidad realicen con más facilidad esos pagos y, de esta forma, se convierten en los principales sectores atacados.
¿Qué ataques son más frecuentes en Sanidad?
(F.V.): Los principales ataques que se utilizan en este sector son el ransomware o el ransomware con robo de información previa, -como ya hicieron en la Generalitat catalana en el área de Salud-, precisamente para incrementar la probabilidad de cobro. Los ciberataques a hospitales provocan que estos se paralicen y, como hay vidas que corren peligro, el no pagar pone en jaque la reputación del hospital, además del consiguiente drama humano, por lo que es fácil que se decidan acceder al chantaje y pagar.
¿Cuál es la verdadera situación de las instituciones sanitarias respecto a la ciberseguridad?
M.A.C: La ciberseguridad en el ámbito sanitario es crucial, ya que la industria sanitaria es uno de los objetivos principales para los ciberdelincuentes. Las organizaciones de atención médica almacenan grandes cantidades de información confidencial de los pacientes, incluidos registros médicos, información personal y, en algunos casos, detalles de pago, lo que las convierte en un objetivo atractivo para los ataques cibernéticos. Asimismo, el tema de la ciberseguridad en las instituciones sanitarias es complejo debido a diferentes factores que se deben tomar en cuenta, algunos de ellos son:
– Priorizar los recursos económicos. La ciberseguridad ha dejado de ser un aspecto opcional en las organizaciones, especialmente en aquellas que manejan información de usuarios. Sin embargo, en las instituciones médicas, si manejan un presupuesto X y deben escoger entre la implantación de un sistema de monitorización o la contratación de médicos, definitivamente su elección sería la contratación de médicos para la plantilla.
– Público al cual va dirigido. Uno de los sectores más sensibles a la digitalización de procesos es precisamente el sector sanitario, debido a que un número significativo de pacientes no manejan de forma fluida ciertos dispositivos electrónicos, algunos ni se plantean dejar de recibir sus órdenes de analíticas o recetas en papel. Para este grupo significativo la digitalización representaría en cierta manera una exclusión del servicio sanitario.
– Ver la salud como actividad y no como un negocio. Este es el punto que posiblemente genera una mayor controversia. Cuando hablamos de negocio no nos referimos netamente al tema capital, pero si al aspecto de responsabilidad que adquieren las diferentes partes de un negocio. Hablando con expertos del área sanitaria, comentamos que hay palabras “prohibidas” en este sector, por ejemplo: negocio, cliente o ganancia. En este sector se prefieren utilizar palabras como actividad, público o beneficio. Sin embargo, nos preguntamos si sería negativo hablar de responsabilidad cuando una institución maneja información sensible de tantas personas, en ese punto es cuando la palabra negocio toma otro sentido que no es el meramente económico.
Este tipo de ataques de ransomware no son ataques excesivamente complejos a nivel técnico. Existen tecnologías que permiten, de forma sencilla, evitar el 98% de ellos
¿Ha mejorado esta situación desde la pandemia?
M.A.C: La situación no ha mejorado, de hecho, los números indican que han empeorado. El sector de la salud fue la industria más atacada por ransomware durante el tercer trimestre de 2022, con una de cada 42 organizaciones afectadas por ransomware, a nivel global.
La pandemia fue un momento particular en el cual los ciberdelincuentes desarrollaron y depuraron sus técnicas de ataque, la inteligencia detrás de los diferentes malwares aumentó y, en la misma dirección, las instituciones sanitarias destinaron sus esfuerzos en contener la propagación del virus. Aún hoy las instituciones sufren los efectos presupuestarios como consecuencia de la pandemia, lo cual los conduce a priorizar mucho más los recursos económicos, que van en su mayor parte dirigidos a los recursos médicos.
¿Qué se necesita para mejorar la ciberseguridad d elos centros sanitarios?
M.A.C: Mejorar la ciberseguridad en el sistema sanitario español requiere un enfoque multifacético que aborde tanto factores técnicos como organizativos. Aquí hay algunos pasos clave que se pueden tomar para mejorar la ciberseguridad en el sistema de salud español:
- Evaluación de riesgos.
- Establecer políticas y procedimientos de ciberseguridad.
- Capacitación de los empleados.
- Controles de acceso.
- Actualizaciones y parches regulares de software.
- Copias de seguridad periódicas.
- Segmentación de la red.
- Plan de respuesta a incidentes.
- Programa de inclusión al público no familiarizado con el mundo digital.
Evidentemente, todas estas medidas requieren de un incremento de la inversión en el área de ciberseguridad y un cambio en la forma de ver la atención sanitaria como una actividad con responsabilidad sobre la información sensible.
¿Y en términos de soluciones, cuáles son las más efectivas?
Este tipo de ataques de ransomware no son ataques excesivamente complejos a nivel técnico. Existen tecnologías que permiten, de forma sencilla, evitar el 98% de ellos mediante técnicas que permiten detectar comportamientos anómalos y neutralizarlos antes de que sucedan. En este caso, hablamos de EDR, XDR o un servicio de seguridad gestionada que detecte, además de la infección, que hay algo que está cifrando ficheros, para que seamos capaces de pararlo en tiempo real, dejar los ficheros como estaban y, por lo tanto, actuar ante el ataque minimizando el impacto. Casi todos los entornos donde sucede un ataque de ransomware no están técnicamente preparados, por lo que, casi siempre, tiene que ver con una falta de diligencia en la gestión de la información.
¿Qué centros están en la diana de los ciberatacantes?
Miguel Ángel Castillo pone algunos ejemplos de ataques sonados al sistema sanitario español en los últimos años:
Ciberataque de enero de 2022: Este ciberataque tuvo como objetivo todos los centros de salud públicos y hospitales de las Islas Baleares. Sin embargo, las autoridades no proporcionaron ninguna información sobre si los datos de los pacientes también llegaron a manos de los ciberdelincuentes.
Ciberataque de febrero de 2022: Ciberataque en el Hospital Vall d’Hebron de Barcelona. El mayor centro sanitario de Cataluña examina si los piratas informáticos han accedido a sus sistemas.
Ciberataque de abril de 2022: La Guardia Civil ha evitado que unos ciberdelincuentes se apoderaran del sistema informático de un hospital granadino mediante un ataque masivo de ransomware.
Ciberataque de octubre de 2022: De este fueron víctimas los hospitales El Dos de Maig en Barcelona, Moisès Broggi en Sant Joan Despí y el Hospital General in L’Hospitalet.
Ciberataque de diciembre de 2021: El Hospital de la Reina de Ponferrada fue víctima de un ciberataque que le llevó a reconfigurar su sistema informático con la ayuda de una empresa especializada después de denunciar ante la Unidad de Ciberdelincuencia de la Policía Nacional un ataque cibernético. Fue una acción de hackeo que perjudicó a una treintena de empresas, pero que no afectó los historiales clínicos de los pacientes.
Ataque de ransomware de noviembre de 2020: Un importante ataque de ransomware afectó a varios hospitales del sistema sanitario español. El ataque se llevó a cabo utilizando el ransomware Ryuk y causó una interrupción generalizada, con varias cirugías canceladas o pospuestas.
Ataque de phishing de mayo de 2020: El gobierno español informó de un ataque de phishing a gran escala dirigido a trabajadores sanitarios del país. Los atacantes utilizaron correos electrónicos de phishing para distribuir malware y robar datos confidenciales.
Ataque de ransomware de abril de 2019: Varios hospitales de España sufrieron un ataque de ransomware que cifró los archivos y los datos de sus sistemas.
Ciberataque de octubre de 2018: El Gobierno español informó de un ciberataque dirigido a la página web de la Agencia Española de Protección de Datos (AEPD). El ataque fue llevado a cabo por el grupo hacktivista Anonymous y fue una respuesta al manejo de la Agencia de un caso de protección de datos.
Estos ciberataques ponen de manifiesto la vulnerabilidad del sistema sanitario español frente a las ciberamenazas y la necesidad de mejorar las medidas de ciberseguridad para proteger los datos sensibles de los pacientes. El Gobierno español ha tomado medidas para mejorar la ciberseguridad en el sector de la salud, incluido el establecimiento de un grupo de trabajo de ciberseguridad después del ataque de ransomware de noviembre de 2020.