Buscar
La portada de mañana
Ver
El PSOE se lanza a convencer a Sánchez para que continúe y prepara una gran movilización en Ferraz

Una crisis global

Ciberdelincuencia: los otros virus a los que se enfrentan los hospitales en plena pandemia

  • Desde la Oficina de Coordinación Cibernética del Cnpic, dependiente de Interior, explican a infoLibre que en el mes de marzo se les han reportado "tres ciberincidentes a centros relacionados con el sector de la salud", sobre los que todavía se está estudiando el "impacto"
  • Los ataques contra hospitales buscan hacerse con datos privados de los pacientes para venderlos o secuestrar los sistemas para exigir el pago de un rescate por su liberación
Fachada del Hospital La Paz, en Madrid.
Fachada del Hospital La Paz, en Madrid. EP

El sistema de salud se ha convertido en el principal dique de contención de la guerra contra el coronavirus. Desde hace un mes, el personal sanitario de todo el país batalla sin descanso contra una pandemia que ha dejado ya más de 94.000 contagiados y más de 8.100 fallecidos. Y lo hace con una importante falta de medios, con las Unidades de Cuidados Intensivos a reventar –más de 5.600 pacientes se encuentran ingresados en las UCI– y bajo la continua amenaza de los ciberataques. En lo que llevamos de marzo, la Oficina de Coordinación Cibernética (OCC) del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), dependiente del Ministerio del Interior, ha recibido el aviso de tres ciberincidentes producidos en centros relacionados con el sector de la salud. Entre ellos, el intento detectado el pasado domingo por la Policía Nacional de bloquear los ordenadores de los hospitales a través del envío masivo de correos electrónicos infectados. Ataques que buscan, según los expertos consultados por infoLibre, hacerse con datos privados de los pacientes o secuestrar los sistemas hasta que se acceda a pagar un rescate por su liberación.

No es una novedad que los sistemas de salud de todo el mundo se han colocado en el punto de mira de los cibercriminales. En mayo de 2017, una ofensiva de estas características logró bloquear más de una docena de centros de salud británicos, provocando el desvío de numerosos pacientes de urgencias. Ciberataques de los que también han sido víctimas en los últimos meses varios hospitales españoles. Es el caso, por ejemplo, del que consiguió poner contra las cuerdas el pasado enero al de Torrejón de Ardoz, en Madrid. Sin embargo, el contexto ahora es bien diferente. Con miles de ciudadanos infectados y la amenaza de colapso sobre la mesa, un misil de esta naturaleza contra las infraestructuras informáticas de los centros, que ya de por sí trabajan muy a contrarreloj, puede provocar graves problemas. Un riesgo que los ciberdelincuentes entienden como oportunidad y que ha llevado al Centro Criptológico Nacional (CCN) a coordinar una iniciativa para que empresas tecnológicas faciliten de manera altruista servicios y soluciones a diferentes organizaciones, principalmente del sector público.

S21Sec es una de las firmas que se han sumado al proyecto. Fundada hace dos décadas, la compañía está dando apoyo durante la pandemia al sistema sanitario. “Queremos que estén centrados al máximo en el manejo de la crisis y lo menos preocupados posible en todo lo relacionado con la ciberseguridad”, dice en conversación con este diario Jorge Hurtado, CSO de S21Sec. Y lo está haciendo de varias formas diferentes. En primer lugar, poniendo a disposición de estos centros de forma gratuita su servicio de respuesta ante incidentes. A esto se le suma un servicio de notificación de Indicadores de Compromiso y la posibilidad de que a través de un correo electrónico trabajadores sanitarios puedan realizar cualquier consulta sobre estas cuestiones tanto en el ámbito profesional como personal. Una estrategia que se culmina, por último, con la disposición de un operativo especial de cibervigilancia. “La información de inteligencia que tenemos nos permite saber si un hospital o clínica está sufriendo un ataque o ha sido vulnerado”, detalla Hurtado, que asegura que ya han informado sobre “varios casos”.

El director adjunto operativo de la Policía Nacional, José Ángel González, aseguró la pasada semana en rueda de prensa que se había detectado el “envío masivo de correos electrónicos a personal sanitario” con un virus “muy peligroso y malicioso” que busca “romper todo el sistema informático de los hospitales”. Sin embargo, no es la única ofensiva detectada desde el comienzo de la crisis. Fuentes de la Oficina de Coordinación Cibernética (OCC) del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), dependiente del Ministerio del Interior, explican a infoLibre que en marzo se les han reportado “tres ciberincidentes a centros relacionados con el sector de la salud”, sobre los que todavía se está estudiando el “impacto”. No obstante, añaden que estas cifras no ofrecen una radiografía exacta de la realidad: “No todos los centros del sistema sanitario son infraestructuras críticas, por lo que el reporte de incidentes no nos lo hacen a nosotros en el caso de que no sean infraestructuras críticas, sino al Centro Criptológico Nacional si son públicos y a Incibe si son privados”.

Rescates y comercio de datos

Pero, ¿por qué tanto interés por los hospitales? Helena Rifà, profesora de Estudios de Informática, Multimedia y Telecomunicación de la Universidad Oberta De Catalunya lo tiene claro: “Estos ataques tienen una motivación económica”. Por lo general, las ofensivas suelen ser de dos tipos. En primer lugar, la “infiltración de un spyware, de un espía” para hacerse con los “datos sensibles” de los pacientes –del nombre al número de la seguridad social pasando por el historial clínico– y ponerlos luego a la venta en el “mercado negro”. Y, en segundo lugar, recurriendo al conocido como ransomware, que permite cifrar los ordenadores, inutilizándolos y exigiendo un rescate –con moneda virtual– a cambio de la clave para liberarlos. No obstante, Rafael Vidal, director de Ciberseguridad y Gobierno TIC de la firma Nunsys, afirma que si no se paga se puede recuperar el sistema a través de las copias de seguridad. “Pero claro, eso te lleva a una parada de unas veinticuatro o cuarenta y ocho horas. Ahora no tienes ese tiempo, necesitas funcionar al instante. Por eso están parando infraestructuras críticas”, completa.

“Si hay probabilidades de que alguien pague un rescate es ahora, que se está hablando de vidas humanas”, apunta el CSO de S21Sec. Es cierto que estos ataques pueden paralizar todo el sistema de gestión administrativa del hospital. Sin embargo, Hurtado recuerda que en estos centros hay cada vez más “tecnología operacional”, aparatos interconectados entre sí que “se usan para medicina diagnóstica” y que podrían verse inutilizados. Tanto Rifà como Vidal señalan que esto es difícil, aunque no imposible. “Un ransomware habitualmente va a entrar por correo electrónico a algún trabajador del centro y, desde ahí, se moverá lateralmente hacia donde pueda. Lo normal es que las máquinas críticas para las vidas estén aisladas y no puedan ser alcanzables desde el ordenador de un profesional sanitario. Pero si desde ahí hay algún hueco para colarse en otra red que sí sea la de operación del hospital, podría llegar a entrar. Es decir, necesitaría dos saltos para conseguir atacar estas máquinas. Pero normalmente, [los delincuentes] sólo necesitan llegar al punto exacto en el que puedan forzar el pago”, detalla el director de Ciberseguridad de Nunsys.

Desde la Oficina de Coordinación Cibernética del CNPIC alertan de que el cebo a la hora de realizar los ciberataques ha pasado a estar focalizado “en el coronavirus, ya que es el tema que más interés o preocupación suscita entre las víctimas”. De hecho, el Centro Criptológico Nacional ya alertó el pasado lunes de una campaña de envíos masivos de correo con el archivo adjunto “CORONAVIRUS_COVID-19.vbs”, que lleva oculto el ransomware Netwalker, el mismo con el que se apagó el Hospital Universitario de Torrejón de Ardoz durante varios días. La profesora de Estudios de Informática, Multimedia y Telecomunicación de la UOC afirma que el gancho “siempre cambia respecto al contexto”. “Se intenta manipular psicológicamente con temas que nos influyan, nos interesen o nos motiven a hacer algo”, completa. Desde hace semanas, todo el torrente informativo a lo largo y ancho del planeta gira alrededor de la pandemia. Y cualquier mensaje o correo electrónico sobre esta cuestión es susceptible de ser abierto sin muchas reservas. Algo que no sucedería con otros muchos asuntos.

Directo | España supera los 100.000 casos y las 9.000 muertes: Sanidad cree que se ha llegado al pico de la curva y está "descendiendo"

Directo | España supera los 100.000 casos y las 9.000 muertes: Sanidad cree que se ha llegado al pico de la curva y está "descendiendo"

Ver más

Ciberestafas usando el coronavirus

De hecho, los últimos informes del CNPIC, adelantados por El País, alertan de hasta una quincena de ciberestafas llevadas a cabo utilizando el coronavirus como señuelo. Así, avisaban de un gusano –subclase de virus informático– que desembarca en los dispositivos móviles a través de un mensaje de texto donde se ofrece una aplicación para conseguir mascarillas. Una vez se pincha en el enlace, este se reenvía a todos los contactos de la agenda telefónica y se abre una página para comprar dicho material sanitario que realmente sirve para robar los datos de la tarjeta de la víctima. El CNPIC también pone el foco en otro software malicioso con el que se pretende vaciar las cuentas bancarias y que los ciberdelincuentes consiguen que se descargue ocultándolo como una aplicación de la Organización Mundial de la Salud (OMS) para seguir la pandemia. O en un ransomware llamado Covidlock a través del cual se intenta cobrar un rescate bloqueando el teléfono y amenazando a su usuario con enviar a toda su lista de contactos los archivos almacenados en el dispositivo. De nuevo, el gancho es una aplicación para estar supuestamente informado al minuto de la crisis sanitaria.

A ojos de Vidal, la mejor vacuna es la “concienciación”. “No abras cualquier cosa que ponga coronavirus”, resume el director de Ciberseguridad de Nunsys. Rifà también abunda en esta idea: “La información tenemos que encontrarla por medios oficiales y hay que ser muy cuidadosos a la hora de instalar programas”. Así, explica que en caso de abrir un correo de estas características, “nunca” hay que descargar “los ficheros adjuntos” o “seguir los enlaces”. “Si hay algo que nos interese, apuntemos a mano en un papel ese enlace porque muchas veces hay pequeñas variaciones respecto a los nombres oficiales y esto nos facilita darnos cuenta”, resume. Y siempre, siempre, seguir los canales oficiales. Si un mensaje indica, por ejemplo, que Netflix regala un mes gratis por la pandemia, compruebe en su propia página web si es cierto. “Si allí no se anuncia, algo pasa”, dice la experta, que también pone el acento en la instalación de aplicaciones: “Si están bien hechas se encontrarán en una tienda oficial. Y no les demos todos los permisos al instalarlas. Es decir, si es una aplicación de fotografías, que tenga acceso a la cámara pero no a tu agenda telefónica”.

Más sobre este tema
logo infoLibre

Suscríbete para que podamos seguir investigando y haciendo periodismo de calidad

Hazte socia/o
stats