Los ciberataques se ceban con los hospitales para vender datos médicos en el mercado negro

Pero Nieto, que interviene este jueves en el Congreso de Ciberseguridad que se celebra esta semana en Málaga para contar los entresijos del incidente del Clínic, advierte que los hospitales son un objetivo principal de los ciberdelincuentes: «El dato médico se paga muy bien en el mercado negro». No hay cortapisas morales ni éticas que los frenen: «Están muy profesionalizados y les da igual que sea un hospital o un banco, quieren dinero», afirma. Y apunta además que el sistema sanitario, sobre todo el público, presenta una mayor vulnerabilidad: no tiene tantos mecanismos de defensa como otros sectores. Señala que un hospital, el sistema sanitario en su conjunto, prioriza la atención al paciente, y cuesta derivar recursos a la lucha y la prevención de la ciberdelincuencia. No hay partidas presupuestarias a este fin. Aunque precisa que en realidad, más que dinero, que también, lo que hace falta es cambiar la cultura, los procesos, los métodos de trabajo y los protocolos de seguridad, porque revela que la brecha por la que entraron los malos en los sistemas del Clínic fue la que él denomina como «vector más débil»: el usuario; en este caso, un profesional, un trabajador del hospital al que le lograron robar las credenciales.

A partir de ahí, continúa su relato Nieto, los ciberterroristas emprendieron una doble extorsión. Por una parte, robaron los datos de los pacientes y los encriptaron. Entonces dijeron al personal del hospital que si pagaban «un rescate» desencriptaban la información para así poderla recuperar. Pero los profesionales del centro tenían copias de seguridad, así que el secuestro de los datos en realidad no les suponía un gran problema. Así que comenzó la segunda amenaza: la publicación de la información de los pacientes. Como el hospital no pasó por caja (la legislación prohíbe pagar rescates de ningún tipo), RansomHouse la terminó sacando a la luz. ¿De cuántos pacientes? Se desconoce y probablemente nunca se sepa. Alejandro Nieto dice que cuando se produce un ataque de estas características, el volumen de información que sale a la luz es incontrolable.

«El Clínic es en realidad reflejo del sistema sanitario en su conjunto y también del conjunto de la sociedad. No se da valor a la seguridad, aunque tras el incidente que sufrimos sí ha cambiado algo la conciencia sobre la cuestión», explica Alejandro Nieto, que insiste en que si hay que hacer frente a la criminalidad de la vida real, la convencional, también hay que atender a la nueva, la ligada a las nuevas tecnologías.

El Hospital Clínic de Barcelona fue informando puntualmente sobre cómo iba viéndose afectado por el ataque cibernético. Y a día de hoy aún tienen colgados en su página web los comunicados que se iban publicando. ¿La transparencia no es una debilidad ante los malos, no es un acto también de propaganda de la actividad de ese grupo de ciberdelincuencia? «Informamos porque no teníamos nada que ocultar», responde Alejandro Nieto.

Dos años después del ataque nadie ha rendido cuentas ni ha pagado por aquello, por la publicación de datos privados, de información tan sensible como la médica. Se sabe que el grupo responsable fue RansomHouse, pero porque fue el que reivindicó el ataque, pero no hay nombres y apellidos de personas concretas: «Es una carencia de la lucha contra la ciberdelincuencia: ¿Cómo consigues que el que la ha hecho la pague?», concluye Nieto.