Las claves del ciberataque al Hospital Clínic de Barcelona
El grupo responsable del ciberataque paralizó los servicios de urgencias del hospital barcelonés y obligó a aplazar muchos tratamientos, entre ellos los de quimioterapia, y hasta 150 cirugías no urgentes.
El pasado 5 de marzo, en torno a las 11.17 horas, el Hospital Clínic de Barcelona sufrió un ciberataque que dejó el sistema informático no operativo y que detuvo servicios tan importantes para un hospital, como son las urgencias, las consultas externas y el laboratorio de análisis clínicos, además de suponer el aplazamiento de numerosos tratamientos oncológicos e intervenciones.
Pese al caos inicial, la respuesta del Clínic fue rápida. Inmediatamente, el hospital notificó a la Agencia de Ciberseguridad de Cataluña (ACC), que habían sido víctimas de un ataque informático. Este hecho provocó que los servicios de urgencias, farmacia y laboratorio se coordinarán con otros hospitales de la ciudad condal para atender los transportes sanitarios que el Clínic no podía recibir.
Los trabajos de recuperación fueron avanzando y a fecha de hoy el propio hospital informa de que ha podido recuperar el 30% de los sistemas sin ceder a pagar el rescate de 4,5 millones de euros que pedían los ciberdelincuentes, además de reestablecer hasta el 70% de las consultas externas y la actividad quirúrgica. Gracias a las copias de seguridad, la ACC ha podido salvar mucha información del Clínic de Barcelona, ya que estaban custodiadas off line.
¿Qué es y cómo funciona un ransomware?
Un ransomware es un tipo de malware que bloquea los archivos y datos de un usuario o sistema, como el del Hospital Clínic, y a través del cual después los ciberdelincuentes exigen un rescate a cambio de la clave o herramienta necesaria para restaurar el acceso a esos archivos.
El proceso de funcionamiento del ransomware comienza cuando un usuario descarga o ejecuta un archivo malicioso que contiene el código del ransomware. A partir de ahí, el ransomware se extiende a través de la red del usuario, cifrando o bloqueando los archivos y datos de la víctima, lo que impide el acceso a ellos.
Una vez que los archivos están bloqueados, el ransomware muestra una notificación en la pantalla del usuario, que le informa del secuestro de sus archivos y le exige que pague un rescate en una criptomoneda específica, para obtener la clave de descifrado.
El objetivo principal de los ciberdelincuentes es obtener beneficios financieros a través del pago del rescate. A pesar de esto, no hay garantía de que pagar el rescate resuelva el problema o restaure el acceso a los archivos, y en algunos casos, puede empeorar la situación y dejar vulnerabilidades de seguridad en el sistema. Por este motivo, nuestro consejo es no ceder nunca al chantaje e intentar resolver el problema mediante las herramientas de las que disponemos.
RansomHouse, los atacantes del Clínic
La empresa responsable del ataque al Clínic de Barcelona se llama RansomHouse. Su modus operandi es el robo de datos mediante la explotación de vulnerabilidades en los sistemas internos de una organización, introduciendo el ransomware. Este mismo software es el que se usó contra la Universidad Autónoma de Barcelona en 2021 en un ataque que dejó al centro educativo sin red interna durante más de dos meses y en el que se vieron afectados hasta 650.000 archivos.
Tras la obtención de los datos, los ciberdelincuentes negocian un pago para que las víctimas recuperen la información. Si las organizaciones afectadas se niegan a pagar, los datos se quedan encriptados y se vuelven inaccesibles. Sin embargo, en los últimos meses, RansomHouse ha dado un paso más allá en su modelo de extorsión: vender los datos robados y, si no los pueden vender en la deep web, los publican en su propia página web.
En el caso del Clínic de Barcelona, los autores del ataque han exigido a la Generalitat de Cataluña el pago de un rescate de 4,5 millones de dólares en criptomonedas para liberar el sistema informático del centro y no hacer públicos ni revender los datos del Hospital Clínic de Barcelona. No obstante, la Agència de Ciberseguretat Catalana ha manifestado que no accederán a las pretensiones económicas de la organización criminal.
¿Cuál es el objetivo de estos ataques?
Los ataques a instituciones sanitarias públicas como el Hospital Clínic de Barcelona evidencian la mala praxis de los atacantes, cuya única motivación es la obtención de recursos económicos mediante el robo de datos a usuarios y organismos públicos.
No obstante, el pasado año, la empresa de ciberseguridad CyberInt explicó a través de un informe que RansomHouse considera que muchas empresas no están dispuestas a invertir lo suficiente para fortificar sus infraestructuras y sistemas informáticos y no tienen establecidos planes de recompensa adecuados por fallos.
Además, el informe también destaca que “una vez que reciben el dinero del rescate, los ciberdelincuentes ayudan a las víctimas a protegerse de futuros ataques cibernéticos y aseguran que se borra cualquier información robada”. Sin embargo, y aunque no podemos corroborar que esto sea verídico, desde FHIOS somos de los que pensamos que cualquier ataque a la seguridad de una empresa debe estar penado por ley y no es beneficioso en ninguno de los casos.
¿Qué puede hacer una empresa para protegerse de un ransomware?
Cualquier organización está expuesta a sufrir un ciberataque, ya que es imposible estar totalmente protegido, pero sí que puede tomar algunas medidas para evitar robo de información. Estas medidas podrían ser: tener contraseñas complejas y diferentes entre diferentes plataformas y aplicaciones.
Además, otra medida que debe tener en cuenta cualquier compañía es activar procesos de doble verificación en todas las cuentas que se pueda. Estos procesos consisten en tener que introducir dos claves para entrar en una cuenta, la contraseña y, por ejemplo, un SMS que se envía al momento.
Asimismo, para evitar ser víctima de ransomware es importante evitar descargar archivos de fuentes desconocidas, mantener actualizado el software antivirus y hacer copias de seguridad regulares de los datos importantes en un lugar seguro y fuera del alcance de los ciberdelincuentes.
Si has sufrido algún tipo de ataque informático, o simplemente deseas obtener más información sobre cómo proteger tu empresa de una manera fácil y segura, no dudes en contactar con nosotros. En FHIOS contamos con un equipo de expertos en ciberseguridad que pueden ayudarte a proteger (y hacer crecer) tu negocio.