El pasado domingo 5 de marzo el Hospital Clínic de Barcelona sufrió un ciberataque que inutilizó los sistemas informáticos y noqueó el centro médico. El hospital tuvo que suspender visitas, cirugías y tratamientos, como quimioterapias, y se tardaron más de tres días en recuperar una cierta normalidad gracias al trabajo de la Agència de Ciberseguretat de Catalunya (ACC), que trabaja para recuperar los sistemas. De momento, los autores del ataque han pedido un rescate de 4,5 millones de dólares en criptomonedas, aunque desde la ACC afirman que no lo pagarán.
El software utilizado para atacar el Hospital Clínic se llama ransomware y los responsables del ataque son el grupo RansomHouse, una corporación que se dedica a atacar empresas e instituciones con una finalidad económica. Para atacar emplean el ransomware, el mismo software que se usó contra la Universidad Autónoma de Barcelona en octubre de 2021 y que dejó el centro educativo sin red interna durante más de dos meses.
El ataque al Clínic no solo destaca por la gravedad de noquear a un hospital público y de referencia, que supone un golpe bajo a los servicios sanitarios, sino que también es un ataque complejo por sí mismo y que está requiriendo un gran esfuerzo a las autoridades que tratan de revertirlo. El director de la Agencia de Ciberseguridad de Catalunya, Tomàs Roy, destacó que se trata de un "ataque complejo, que no sigue el modus operandi clásico y que incluye técnicas nuevas", motivo por el que todavía están estudiando el alcance de los daños, en colaboración con los Mossos d'Esquadra y la Interpol. De esta manera, se habría producido "una encriptación de la información y existe la posibilidad de una filtración de datos", explicó poco después del ataque Roy.
¿Qué es y cómo funciona un ransomware?
Un ransomware es un programa malicioso que encripta los ficheros de un sistema informático, como el del Hospital Clínic o la UAB y después los ciberdelincuentes piden un rescate para poder recuperar los datos. El funcionamiento es así de sencillo. La víctima del ataque puede pagar o no pagar el rescate, pero lo que es bastante probable es que una parte de los archivos acaben siendo vendidos a terceros en la deep web.
Como explica el Doctor por la Universidad Ramon Llull y profesor de Seguridad en las TIC en La Salle, Adrià Mallorquí, los ejecutores del ransomware buscan "puntos débiles" del sistema informático que quieren atacar para introducirse. "Su manera de operar consiste en buscar debilidades del sistema para introducir el software. Lo pueden hacer buscando debilidades externas, el que llamamos una puerta de entrada, como un error en los protocolos de seguridad. Esta es la manera más complicada de hacerlo, porque estas instituciones acostumbran a estar bien protegidas. La forma más sencilla y más habitual consiste en engañar a algún trabajador, con correos electrónicos de phishing o SMS engañosos para que entre en un enlace y desde allí los ciberdelincuentes introduzcan el ransomware. Una vez están dentro del sistema no hay nada que hacer, encriptan los ficheros, piden un rescate y a partir de aquí se tiene que intentar recuperar los archivos", explica. En el caso del Clínic se desconoce cómo se ha introducido el programa al sistema. "No sabemos cómo han entrado, o al menos no se ha hecho público, pero lo más probable es que haya sido a través de un enlace malicioso, es la manera más usual, más sencilla y más efectiva", afirma Mallorquí.
Cuando el ransomware se ha introducido en el sistema que se quiere atacar y se han encriptado los ficheros los atacantes piden un rescate. En el caso del Clínic han pedido 4,5 millones de dólares en criptomonedas. "No pagaremos ningún rescate, ni hablar", afirman, con contundencia desde la ACC cuando les preguntamos por la posibilidad de pagar esta cifra para recuperar los datos. En el caso del ataque a la Universidad Autónoma de Barcelona el rescate que pedían los atacantes era de unos 3 millones de dólares, también en criptomonedas, que no se pagó.
Desde la ACC explican que de momento no pueden ofrecer más información sobre el ataque de lo que ya se ha hecho público. "Sabemos que entraron en el sistema y encriptaron los ficheros el domingo 5 de marzo, cuando quedó inhabilitado. Para solucionarlo se han entregado más de doscientos portátiles seguros al hospital para que se pueda seguir trabajando con la máxima normalidad posible dentro del contexto de la situación actual", explican. Lo que podemos asegurar es que no ha habido ninguna filtración de datos, desmintiendo la información que circuló a principios de semana sobre una filtración del Clínic, aunque en realidad se trataba de datos de otro hospital alemán que también sufrió un ataque antes que el hospital catalán. "No ha habido ninguna filtración en ningún sitio, estamos monitoreando la situación junto con los Mossos y de momento no ha salido nada", afirman desde la ACC. También destacan que los datos que se han visto afectados por el ataque no son historiales clínicos, sino que son datos y ficheros internos del hospital.
RansomHouse, los atacantes del Clínic
La empresa encargada del ataque al Clínic se llama RansomHouse. Según Bleeping Computer, su modelo es el robo de datos mediante la explotación de vulnerabilidades en los sistemas internos de una organización, introduciendo el ransomware. Una vez RansomHouse ha obtenido los datos, su modus operandi es negociar un pago para recuperar la información. Si la víctima se niega a pagar, los datos se quedan encriptados y se vuelven inaccesibles. No obstante, en el último año, RansomHouse ha añadido una forma adicional de extorsión vendiendo los datos robados y, si no los pueden vender en la deep web, los publican en su propia página web.
¿Cuáles son las motivaciones de RansomHouse para llevar a cabo estos ataques? Un informe de 2022 de la empresa de ciberseguridad CyberInt explicaba que RansomHouse cree que muchas empresas no están dispuestas a invertir lo suficiente para fortificar sus infraestructuras y sistemas informáticos y no tienen establecidos planes de recompensa adecuados por fallos. El informe también destaca que, una vez que se paga el rescate, RansomHouse ayuda en las empresas a protegerse de futuros ataques y asegura que se borra cualquier información robada. Sin embargo, los ataques a instituciones sanitarias públicas como el Hospital Clínic ponen en duda la buena voluntad de los atacantes y evidencian motivaciones económicas. También hay constancia de filtración de datos de otros ataques, un argumento que desmiente las supuestas intenciones de ayudar a las empresas que manifiestan desde RansomHouse.
Adrià Mallorquí afirma que RansomHouse no desarrolla su propio software, sino que solo se dedica a atacar con ransomware ya existentes. "Hay otros grupos del mismo estilo que desarrollan sus propios ransomware, pero no es el caso de RansomHouse, por lo que sabemos, ellos solo se dedican a atacar y no a desarrollar. Sin embargo, el ataque al Clínic es especialmente complejo porque se han utilizado técnicas nuevas y más complejas que las que habíamos visto hasta ahora, y eso comportará un esfuerzo todavía mayor para recuperar los archivos", explica Mallorquí.
Los ataques con ransomware generaron 5.000.000.000 de dólares desde 2018
Los ataques con ransomware son muy lucrativos. Desde 2018 se calcula que estos ciberataques generaron más de cinco mil millones de dólares, según un estudio de la Red de Seguimiento de Delitos Financieros (FinCen por sus siglas en inglés), una entidad dependiente del gobierno estadounidense. La razón, las grandes cuantías que piden como rescate para desencriptar los datos y el alto porcentaje de víctimas que acaba pagando. Teóricamente, una vez se paga el rescate, los atacantes hacen llegar un código a los propietarios del sistema afectado con el que pueden desencriptar los ficheros, pero no siempre es así. Según un estudio de la empresa de ciberseguridad Kaspersky, solo un 11% de los afectados por un ransomware en España durante el año 2021 pudieron recuperar la totalidad de los archivos encriptados.
El informe anual sobre el crimen organizado en internet de Europol admite que el ransomware es la amenaza más dominante en la ciberdelincuencia. Según el CCN-CERT, este es el tipo de malware más destructivo de la última década. La empresa de ciberseguridad Kaspersky detectó 549.301 víctimas de intentos de infección de ransomware el año pasado, con una media de 1.500 al día. Según Kaspersky, el 32% de las víctimas de ransomware en España ceden a las demandas, mientras que a escala mundial, el 56% se rinde. Además, el 13% no puede recuperar sus archivos.
¿Estoy expuesto a un ataque? ¿Qué puedo hacer para protegerme?
Adrià Mallorquí afirma que todo el mundo está expuesto a un ataque con ransomware o con cualquier otro software malicioso. "Es imposible estar totalmente protegido, pero sí que podemos tomar algunas medidas", afirma. Estas medidas podrían ser, en primer lugar, tener contraseñas complejas y diferentes entre diferentes plataformas y aplicaciones. "Si nos atacan y se filtran nuestras claves y todas las que tenemos son iguales, es más fácil que alguien pueda entrar a todas nuestras cuentas. En cambio, si tenemos contraseñas complejas y diferentes, les será mucho más complicado", explica. Para poder gestionar tantas contraseñas diferentes existen aplicaciones que hacen esta función y que facilitan la tarea, de hecho, los mismos móviles tienen esta función, son los gestores de claves y contrasenyas.
Por otro lado, una medida que Mallorquí destaca es activar procesos de doble verificación en todas las cuentas que se pueda. Estos procesos consisten a tener que introducir dos claves para entrar en una cuenta, la contraseña y, por ejemplo, un SMS que se envía al momento. "Muchas aplicaciones ya tienen este servicio incorporado, pero hay otros donde lo podemos activar si lo deseamos. Yo le recomendaría a todo el mundo que lo hiciera en la medida de lo posible", concluye el profesor de La Salle.