Queridos lectores:
Podríamos pensar que los secuestros cibernéticos de hospitales ocurren en series de ciencia ficción como Black Mirror. Pero nada más lejos de la realidad…
Hoy, hablaremos de oleados “virus” informáticos, en tiempo de COVID-19.
En la primera semana de septiembre, la aseguradora SegurCaixaAdeslas fue víctima de un ransomware ..Y en enero, el Hospital de Torrejón fue atacado, siendo restringido el acceso a los historiales clínicos.
En plena pandemia, en el mes de marzo , se detectaron campañas internacionales de phising que contenían enlaces que podían derivar en un ransomware (denominado Netwalker). Se dice que podría haber producido un escenario como el ocurrido de WannaCry. No obstante, los propios creadores del virus señalaron que la intención no era hackear un hospital, ni mucho menos.
En tanto, en el mes de abril, un menor de 16 años fue detenido por atacar varias instituciones por haber conseguido penetrarse en una app dedicada a las pruebas y recetas robando datos de varios usuarios . Esta noticia nos impacta porque uno piensa que hackear un hospital tiene que ser una cosa seria y difícil de perpetrar…
Echando la vista atrás, en noviembre del 2019, otro hospital, esta vez uno de León fue atacado con la intención paralizar su actividad, aunque los equipos técnicos pudieron prevenirlo.
Más reciente, se produjo el ciberataque, este 3 de septiembre del Hospital Moisès Broggi de Sant Joan Despí (Barcelona). Se solicitó un rescate para liberar los servidores bloqueados. Las medidas de prevención de que disponía el hospital han permitido que impacto fuera “limitado” ya que afectó sobre todo a los correos corporativos y a las líneas telefónicas, pudiendo trabajar en la recuperación de los sistemas bloqueados sin pagar el rescate. El director de la Agencia de Ciberseguridad de Cataluña señaló que el objetivo de este tipo de ataque no es buscar información privada.
No obstante, no podemos desmentir que este sea uno de los objetivos principales de los ciberdelincuentes, sobre todo si hay móvil económico detrás.
Según VMWre Carbon Black , destacan estos 4 diferentes tipos de ciberataques :
- Hackeo de datos de proveedores para robar documentos administrativos, como licencias médicas, para falsificar la identidad de un médico. Estos datos se venden en la web oscura por alrededor de 500 dólares.
- Hackeo de la información de inicio de sesión de una aseguradora y luego venderla a un comprador, quien luego puede restablecer las credenciales de la base de datos y tomar la identidad de la víctima para reclamar el seguro.
- Falsificación tarjetas de seguro médico, recetas y etiquetas de medicamentos con la intención de llevar medicamentos a través del aeropuerto.
- Uso de información médica personal pirateada contra personas que tienen problemas de salud por extorsión y otros delitos.
Por tanto, podemos pensar que extraer información personal puede ser un objetivo del ciberdelincuente de estos hechos. Todo ello sin olvidar que el sector de la salud es un sector estratégico de gran transcendencia en un país y que los datos de salud personales son datos de categoría especial y por tanto, tienen una consideración especial de mayor protección.
Mientras tanto, el 9 de septiembre, en Alemania, se desencadena el primer ciberataque ramsonware que produce el fallecimiento de un paciente. Aprovecharon una vulnerabilidad en la red privada virtual Citrix que tenía el hospital desde hace meses y que era público. Se trató de un persona que requería cuidados intensivos en el hospital y al estar inhabilitados los sistemas quien no pudo acceder a los mismos, siendo necesaria la derivación a un hospital a 30 km. Finalmente falleció, por culpa de los actos ciberdelincuentes, como podría considerar la policía alemana.
Como podemos observar, los “bienes jurídicos” en peligro no solo sería el derecho fundamental de protección de datos de los usuarios y pacientes sino la “propia vida”. La cosa se pone bastante seria y no es el momento de mirar a otro lado.
Por su parte, el informe de la compañía McAffee, lo deja bastante claro. Los datos personales de salud importan, tienen mucho valor y acaban en el mercado negro tras un delito de ramsonware. Es lo que ocurrió al laboratorio francés Labio (ver imagen inferior), a quienes los cibersecuestradores pidieron 20.000 euros a fin de evitar la publicación de los registros de salud de los pacientes en el mercado clandestino. Como finalmente no entregaron dicho rescate, la información médica se publicó.
Otros hospitales, por el contrario, sí que accedieron al pago del rescate (17.000 dólares) como ocurrió en un hospital de Los Ángeles en EEUU .
Si hubo investigaciones que me alarmaron e impactaron en mi época predoctoral en relación con la ciberseguridad de hospitales fueron las de Billy Rios o Barnaby Jack. El primero estudió sobre las vulnerabilidades en las bombas de infusión de fármacos que podían ser controlados por el ciberdelincuente o la posibilidad de falseas los signos vitales de los pacientes.
Y el segundo investigó las vulnerabilidades de los dispositivos médicos inalámbricos, como por ejemplo, los marcapasos.
También me impactaron, las de 2019, realizadas por investigadores que detectaron que, gracias a IA (deep learning), un malware se podía “manipular” imágenes médicas como unas meras radiografías llegando a un diagnóstico erróneo . Por ejemplo, eliminando nódulos cancerígenos, y con ello, imposibilitar el diagnóstico correcto y su tratamiento oportuno. Un auténtico horror.
En definitiva, como hemos podido ver, todos estos hechos delictivos no solo atentarían contra la privacidad de las personas, sino contra la propia integridad física y la vida de estas. Se sabía que tarde o temprano los ciberataques a hospitales -en forma de ransomware acabarían trayendo consecuencias trágicas de todo tipo de forma inevitable.
Esa situación de vulnerabilidad generalizada hay que contextualizarla en un momento delicado de crisis sanitaria – como la que estamos viviendo- donde todos los profesionales, usuarios y pacientes nos estamos preparando para la segunda oleada del COVID-19. Los avances tecnológicos aumentarán de la misma forma que lo harán los desafíos y retos de seguridad que derivarán. Es por ello, que se requerirá trabajo en común de los diferentes stakeholders y profesionales multidisciplinares implicados para avanzar en regulación -softlaw- sectorial o agile law que focalice soluciones concretas a estos escenarios.