Cibercriminales contra la salud: oleada de hospitales colapsados por secuestros virtuales en plena pandemia

Con la presencia de la exsecretaria de Estado de EE.UU. Madeleine Albright, el Cyber Peace Institute , con sede en Ginebra, ha lanzado este martes un informe global (titulado 'Jugando con vidas') que da cuenta sobre la multiplicación de los ataques cibernéticos al sector de la salud a lo largo del último año por la pandemia del covid-19.

Instituciones relevantes para la lucha contra el covid han sido afectadas por ciberataques recientemente: la Agencia Europea del Medicamento (con sede en Ámsterdam) fue víctima el pasado diciembre de una operación de desinformación; el laboratorio de Moderna también sufrió ciberataques, supuestamente, a cargo de grupos vinculados al Gobierno chino en pleno desarrollo de la vacuna contra el covid-19. Pese a no estar directamente implicado en la lucha contra la pandemia, Microsoft culpó la semana pasada a un grupo chino de ciberespionaje por los ataques a su software de servidor de correo. En su blog oficial, el gigante tecnológico sostenía que los piratas informáticos formaban parte de un grupo apoyado por un actor estatal «altamente cualificado y sofisticado».

Aunque desde occidente se está apuntando principalmente a Rusia y China de los ciberataques, las fuentes consultadas sostienen que otros muchos países también podrían estar involucrados en algún tipo de hackeo, que en la mayoría de los casos quedan impunes . El pasado abril, cibercriminales estaban vendiendo en la red profunda (Deep Web) el código fuente de una tecnología de detección del coronavirus procendente de una empresa de Pekín . La oferta incluía más de 1 GB de datos y se vendía por 4 Bitcoins. Las víctimas de estos ataques no solo son de carácter geopolítico, también personas anónimas lo sufren.

Como los centros médicos suelen estar liderados por personal médico, la ciberdefensa no está entre las principales prioridades presupuestarias. No hay un gasto adecuado en cortafuegos. El 87% del personal de ciberseguridad de hospitales sostiene que faltan recursos de forma urgente , según recoge el informe. «Es bastante simple: los cibercriminales quieren dinero. Los atacantes no solo atacan a hospitales a través de sus ordenadores sino también amenazan con filtrar datos personales de la gente. El precio medio de un historial médico para venderlo en la red profunda oscila entre 250 dólares y 400 dólares», explica a ABC Adrien Ogee , del Cyber Peace Institute y que ha trabajado para las Agencias de seguridad francesa (ANSSI) y europea (ENISA).

En una sanidad esencialmente privatizada, como la estadounidense, la venta de ficheros privados supone un negocio multimillonario. «Hay países donde es bastante útil para conseguir seguros médicos. Esta información es muy útil para un atacante. Entonces ven lo que tiene valor para gobiernos, pacientes, hospitales y encuentran la forma de extraer estos datos. Al final sus fines lucrativos tienen un impacto tremendo en la salud de los seres humanos. Hacemos una diferencia entre vida real y digital y pensamos que las consecuencias de esta última no se traslada a la realidad. Uno de los principales problemas es que no hay suficiente intercambio de información entre hospitales . Los grupos que operan los ataques funcionan como empresa, venden sus operaciones como si fueran servicios, tienen desde teléfonos rojos y ofertas que van desde 40 dólares hasta varios miles. Es un gran negocio », agrega.

El pasado septiembre, 250 hospitales de Universal Health Services (UHS), una de las compañías de servicios sanitarios y atención médica más poderosa del mundo, sufrieron un secuestro virtual. En concreto se trató de un secuestro virtual por Ryuk. A primera hora del 27 de septiembre, los cibercriminales se infiltraron en el sistema informático mediante un mensaje de correo malicioso ('phishing', uno de los métodos más empleados por su simpleza).

Los estragos del coronavirus en el mundo laboral también facilitan los objetivos de los 'hackers'. Con la llegada obligada del teletrabajo , «muchos hospitales también se han visto obligados a implementar rápidamente tecnologías de acceso remoto», afirma a este periódico Christopher Frenz , encargado de los sistemas informáticos del hospital neoyorquino Monte Sinaí. La urgencia de su instalación, subraya, ha supuesto que muchos hospitales no implementaran las barreras de seguridad exigidas en situaciones normales.

Precisamente se sospecha que ha sido este ransomware el empleado por los cibercriminales a la hora de atacar este martes el portal del Servicio Nacional de Empleo español (SEPE) . A lo largo de la pandemia, hospitales españoles y algunas aseguradoras, como Adeslas, han sufrido también ciberataques.

El secuestro y posterior colapso millonario de una relevante institución puede ser desencadenado por un trabajador cualquiera que accede a un informe ofrecido por los cibercriminales para tomar el control del sistema, si no se ha establecido un sistema de seguridad apropiado, cuenta a ABC el responsable de ciberseguridad de un centro médico de la costa este estadounidense.

El pasado otoño, la Fiscalía alemana abrió una investigación sobre la muerte de una mujer como posible primera víctima mortal de un ciberataque en un hospital de Dusseldorf , que en mitad de un colapso rechazó su ingreso. El ransomware entró en la red del Hospital Universitario de la localidad alemana a través de una vulnerabilidad del servidor Citrix.

En febrero, varios hospitales franceses Villefranche, Tarare y Trévoux del Hospital del Noroeste sufrieron ataques precisamente por criptovirus Ryuk. La Agencia Nacional de Francia para la Seguridad de los Sistemas de Información (ANSSI) sigue la pista de grupos vinculados a la inteligencia rusa, aunque la mayoría de estos ataques cibernéticos contra hospitales son liderados por grupos criminales que no necesariamente están vinculados a actores estatales. Según un informe reciente de ANSSI, los hospitales y otras entidades del sector de la salud son uno de los principales objetivos de los atacantes por ransomware. «Hemos cancelado masivamente. Tenemos problemas con las sesiones de radioterapia y oncología […] por el problema de conocer el expediente del paciente. [Estos] también serán redirigidos a todos los hospitales de la región o cercanos», alertó el presidente del consejo de supervisión del Hospital Dax, en el País Vasco francés , que fue atacado el pasado mes.

«Cada día nos enfrentamos a potenciales ciberataques. Nuestro cortafuegos siempre detecta algo como correos maliciosos dirigidos a algunos usuarios del hospital», describe a ABC Martin Konir, director de información sanitaria de uno de los principales hospitales de Praga, que recuerda cómo el pasado abril varios hospitales checos sufrieron potentes ciberataques de actores estatales. Aunque no cuentan con una confirmación concluyente, todo apunta a grupos rusos. «Un hospital de Brno cayó con toda la base de datos y registros. Ahora mismo con la sanidad colapsada por el coronavirus ciberataques potentes en los centros pueden tener consecuencias muy graves», añade.

Hasta la fecha, los ataques más agresivos contra centros médicos fueron el caso 'WannaCry ' en 2017, que paralizó hospitales británicos obligando a posponer cirugías y rechazar la entrada de nuevos pacientes. En España, el secuestro virtual afectó a empresas de la talla de Telefónica. Poco después llegó el segundo ataque más letal, el ruso «NotPetya», que aún pagando el rescate era imposible recuperar los archivos dañados.

Desde el Cyber Peace Institute se recomienda no pagar nunca: por razones éticas, porque así se financia el cibercrimen, y además porque sería ineficaz, ya que los atacantes -u otros grupos- habiendo recibido el pago pueden volver a infectar a la víctima. En los últimos cinco años, los ciberdelincuentes han pasado de pedir de 20.000 o 50.000 dólares a 350.000 dólares en medio de una pandemia.