Todo parece indicar que el ciberataque sufrido por Hospital Clínic es un ataque de ransomwar
Ataque informático
Así fue el ciberataque que tumbó al Hospital Clínico y estas son las dudas sobre su autoría
La Agencia de Ciberseguridad de Cataluña dice que el ataque al complejo hospitalario es obra de hackers de fuera de España. En concreto, la responsable sería la empresa Ramson House
El ciberataque que ha tumbado el sistema informático del Hospital Clínico de Barcelona es ya uno de los más importantes en la historia de la sanidad catalana.
El ataque comenzó el pasado domingo y de momento, se sabe que proviene de fuera de España, pero aun son muchas dudas las que se ciernen sobre lo sucedido.
La Generalitat catalana asegura que no pagará ni un solo céntimo a los ciberdelincuentes. Sergi Marcén, secretario de Telecomunicaciones, añadía que no ha habido comunicación con los atacantes, presuntamente el grupo RansomHouse.
Martín Piqueras, profesor de tecnologías en OBS Business School, explica que: «Los ataques de Ransom House son muy especializados y se estima que impactan al 65 % de las empresas anualmente. En ellos el atacante se conecta a los ordenadores de las empresas y los encripta de forma que nadie puede acceder a no ser que tenga una clave de desencriptación, que es muy difícil de conseguir».
«La entrada del atacante en la organización se produce normalmente a través de un ataque de fishing previo en el que ha caído alguno de los miembros de la empresa a través de su email o de un SMS. A partir de ahí toda la organización queda comprometida. El método es acceder a un ordenador y desde él ir extendiéndose al resto sin dejar ningún rastro. Solo cuando lo han logrado, encriptan repentinamente todo el sistema sin posibilidad de reacción. Son ataques que ocurren de manera inesperada sin que dejen ninguna señal de entrada».
«Las atacantes suelen ser empresas especializadas que contratan hackers y, por tanto, no persiguen ningún fin político o de otra índole que no sea económica. Están ubicados en países donde no hay convenios de extradición o donde la ley no llega, y utilizan todos los mecanismos posibles para ser anónimos (pagos en criptomoneda, conversaciones en Telegram…) de manera muy coordinada. Estas empresas cuentan con equipos de atacantes, con equipos comerciales que se encargan de cobrar los ataques y con mecanismos equivalentes a los que tienen las empresas atacadas. El dinero que obtienen lo reinvierten en atacar a nuevos clientes».
«Es un método cada vez más profesional, ataques cada vez más sofisticados y sistemas para forzar el pago cada vez más complejos. Además, estas empresas pueden llegar a robar datos y amenazar a la empresa con publicarlos. Ello es especialmente grave en el caso de un hospital, donde la información que se maneja es muy sensible».
Presiones y amenazas
En opinión de un experto en ciberseguridad, Luis Corrons, Security Evangelist de Avast: «Todo parece indicar que el ciberataque sufrido por Hospital Clínic es un ataque de ransomware. Este tipo de ataque tiene mucho trabajo detrás, y de hecho, una de las últimas tendencias es que los ciberdelincuentes se hagan con una copia de la información antes de proceder a cifrarla».
«El principal motivo para hacer esto es presionar más a la víctima y obligarla a pagar un rescate bajo la amenaza de que se filtren los datos robados. Para volver a estar operativo, el hospital necesita, por un lado, conocer el origen del ataque para cerrar las puertas y evitar que se repita. Por otro lado, tendrá que restaurar la información a partir de las copias de seguridad de las que dispone. Mientras no se tomen todas estas medidas, todos los ordenadores conectados a la red estarán en peligro.»
«Con el fin de evitar este tipo de situaciones, se pueden tomar medidas para reducir el riesgo: disponer de software actualizado, proteger sus ordenadores con programas de seguridad y formar a sus empleados para que sean capaces de reconocer ataques de este tipo. Una vez que se ha sufrido un ataque, es necesario buscar pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello será necesario supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan indicar a tiempo que algo anómalo está ocurriendo.»
Comentarios
