hacker ciber ciberataque ataque ciberseguridad Cyber Malware ramsonware ciberdelincuenteEste lunes amanecimos con un nuevo caso de ciberdelincuencia. Como ya sabréis, el Hospital Clínic de Barcelona sufrió el domingo un ataque que dejó su sistema informático no operativo y que, según la Agencia Catalana de Ciberseguridad, se atribuye a un grupo de cibercriminales llamado Ransom House.

Este caso sirve para mostrar las múltiples afecciones de un ciberataque y para corroborar su naturaleza cambiante y cómo las superficies de los ataques aumentan cada vez más, con ciberdelincuentes que cada vez son más ágiles y se aprovechan del contexto de incertidumbre, haciendo usos y galas de herramientas tecnológicas que, usadas en “su beneficio”, sirven para perpetuar sus ataques a grandes escalas. Esto confirma que este tipo de organizaciones criminales aprenden y tienen medios y recursos para perfeccionar sus ataques y hacerlos cada vez más complejos.

Panorama cambiante

Pero no queda ahí la cosa: los ciberataques irán a más y parece que el sector sanitario es una de las dianas favoritas de los hackers. Hace apenas unas semanas Elene Bogaert, International Cyber underwriter en Beazley, aseguró en la Semana del Seguro que “en ciberriesgos no hay fronteras y es extrapolable a nuestras fronteras también”. A esto se suma el aumento del uso de Internet of Things (IoT) y los servicios en la nube (cloud), que “han aumentado la superficie del ataque” y, en consecuencia, las pérdidas en el sector asegurador, pero también ha llevado a aumentar la importancia en empresas de asegurarse ante estos riesgos y la demanda de seguros ciber.

Ante este escenario de riesgos de ataque creciente, la UE ha ido introduciendo normas y legislación como la protección de datos o la NIIF II, también se está preparando DORA, y hemos visto la aparición de nuevas tecnologías para proteger los ordenadores. De cara a 2023, Bogaert sostiene que las tendencias irán en la misma línea y señala a cinco predicciones: continuará la ciberextorsión y la filtración de datos; la suplantación de identidad seguirá al alza, la Inteligencia Artificial (IA) crecerá, lo que puede ser positivo, pero también negativo; los ataques a las cadenas de suministro continuarán; y el riesgo sistémico.

Ciberdelincuentes: ese ecosistema rentable que evoluciona con rapidez

Pero ¿qué sabemos de Ransom House? Pues, hasta ahora, algunas de las cosas que les caracterizan es que no siguen el modus operandi habitual, sino que se basan en técnicas nuevas. Sabemos que comenzaron su actividad en diciembre de 2021 y se desconoce su origen exacto, pero se sospecha que son de fuera de España y que el alcance de su operativa es global.

Además, parece que se focalizan en el sector sanitario (como el ataque aparentemente perpetrado el pasado noviembre al Grupo keralty, que agrupa a la EPS Sanitas y Colsanitas en Colombia) y que piden un rescate por los datos de no más de 50.000 euros, y en criptomonedas, alegando que a las empresas atacadas les costará mucho más -tiempo y dinero- recuperar su operativa habitual si recurren a empresas expertas en recuperación de datos que si ceden. Algunos lo han calificado como una plataforma que agrupa las pandillas de ransomware al, aparentemente, tratarse de un grupo que roba datos y maneja las negociaciones o venta de actividades de otros ciberdelincuentes.

El alcance del ataque al Clínic de Barcelona ha tenido un impacto de elevada envergadura: ya no solo se trata de recuperar sus datos; ha provocado, por lo pronto, la desprogramación el lunes de entre 300 y 400 analíticas, entre 2.000 y 3.000 consultas y unas 150 operaciones no urgentes, con el impacto que esto conlleva en los pacientes del centro, además del bloqueo al acceso a los archivos dentro de los ordenadores de los laboratorios, urgencias, farmacia del centro y varias clínicas externas.

Así, cabe preguntarse: ¿cuál es el plan de restablecimiento de los servicios, teniendo en cuenta que la Generalitat ha asegurado que no negociará? ¿Cuál es el cronograma que los usuarios deberían conocer? ¿Qué seguimiento se está haciendo para garantizar los derechos de los afectados? ¿Y, a nivel normativo, qué alcance y consecuencias tiene todo esto?

Macarena Bandres, Risk Management Cyber Leader en Marsh España, ha realizado un comentario sobre el cambio de tendencia que se está dando en el panorama de las ciberamenazas, con la fuga de información sustituyendo al cifrado de datos como táctica más habitual de los ciberdelincuentes. La experta comenta también si se debe o no pagar “rescate” cuando nos enfrentemos a un ataque con ransomware.

A modo de resumen, la experta se pregunta si el paso al robo de datos el fin del ransomware basado en el cifrado. “Es poco probable. La ciberdelincuencia es un paisaje que se adapta rápidamente, y los ciberdelincuentes forman parte de un ecosistema muy rentable que evoluciona con rapidez para garantizar unos ingresos continuos. Sigue siendo fundamental reforzar las medidas de seguridad y prepararse para cualquier eventualidad”.

Respecto a los pagos, Bandres señala que “los últimos meses han mostrado indicios de que el panorama del ransomware puede estar cambiando. El primero es un cambio en las tácticas de los autores de las amenazas, que cada vez de forma más frecuente, pasan de cifrar los datos a exfiltrarlos. Al mismo tiempo, hay indicios de que las organizaciones víctimas de estas amenazas son cada vez menos propensas a pagar rescates. Sin embargo, como el panorama de las ciberamenazas cambia constantemente, quizá la única certeza sea que los ciberdelincuentes buscarán nuevas formas de amenazar a las empresas para obtener beneficios económicos”.

Por otro lado, para Luis Corrons, Security Evangelist de Avast, «todo parece indicar que el ciberataque sufrido por Hospital Clínic es un ataque de ransomware. Este tipo de ataque tiene mucho trabajo detrás, y, de hecho, una de las últimas tendencias es que los ciberdelincuentes se hagan con una copia de la información antes de proceder a cifrarla. El principal motivo para hacer esto es presionar más a la víctima y obligarla a pagar un rescate bajo la amenaza de que se filtren los datos robados”.

Según el experto en ciberseguridad, “para volver a estar operativo, el hospital necesita, por un lado, conocer el origen del ataque para cerrar las puertas y evitar que se repita. Por otro lado, tendrá que restaurar la información a partir de las copias de seguridad de las que dispone. Mientras no se tomen todas estas medidas, todos los ordenadores conectados a la red estarán en peligro”.

Impacto

En este sentido, nos encontramos varios puntos: “No sólo tenemos una afección a los servicios tecnológicos, lo que conlleva una delicada situación de desconcierto, sino que en estos casos también solemos hablar de una posible paralización parcial o total del normal funcionamiento de la institución”, según ha publicado en LinkedIn Antonio Santos, coordinador de Siniestros en Líneas Financieras y Programas Internacionales.

Por otro lado, según alega Santos, “ante un ciberataque debemos tener muy en cuenta las obligaciones que surgen frente a terceros, pues no solo hay información sensible de terceros que pueden ser objeto de reclamación por los afectados, sino que tenemos que tener muy en cuenta las obligaciones en materia de protección de datos que surgen frente a la Agencia Española de Protección de Datos”.

Por su lado, la experta de Marsh asegura que “las pólizas de seguros de riesgos cibernéticos nunca han sido tan importantes. El aparente cambio en las tácticas de los actores de las amenazas puede alterar los tipos de reclamaciones de seguros de riesgos cibernéticos presentadas, pero la transferencia de riesgos seguirá siendo un pilar fundamental de la resiliencia cibernética”.

Además, añade que “la reciente transparencia proporcionada por el ICO sobre el pago de rescates debería aclarar la cuestión de si pagar o no. Sin embargo, pagar o no pagar sigue siendo una decisión legal, operativa, de reputación y estratégica compleja. Las organizaciones deben prepararse activamente y debatir cómo reaccionar ante una petición de rescate antes de que se produzca el suceso”.

“Aunque cada caso es único, la decisión de pagar un rescate se toma a veces con la falsa expectativa de que es la vía más rápida para recuperar -o la mejor manera de proteger- la información robada. Poner a prueba estos supuestos a través de simulaciones y la implementación de libros de jugadas de ransomware y planes de respuesta a incidentes puede ayudar a identificar las prioridades de la organización y los aspectos prácticos de la respuesta a incidentes”, añade.

Algunas soluciones (que ya sabíamos o ya deberíamos conocer)

Luis Corrons manifiesta que con el fin de evitar este tipo de situaciones, se pueden tomar medidas para reducir el riesgo: «Disponer de software actualizado, proteger sus ordenadores con programas de seguridad y formar a sus empleados para que sean capaces de reconocer ataques de este tipo. Una vez que se ha sufrido un ataque, es necesario buscar pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello será necesario supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan indicar a tiempo que algo anómalo está ocurriendo».

En líneas generales, según Miguel Ángel Castillo, Cybersecurity Team Leader de TI Innovery España, “recuperarse de este ataque no es sencillo. El primer paso es contener el ataque para evitar que siga propagándose. Posteriormente, se procede a reestablecer servicios críticos. En esta fase jugará un papel crucial la existencia de una buena política de backup, ya que la existencia de copias de seguridad previas del ataque marcará la diferencia en la rapidez de recuperación”.

¿Entonces, qué se necesita para mejorar la ciberseguridad de los centros sanitarios? Castillo lo tiene claro: “Mejorar la ciberseguridad en el sistema sanitario español requiere un enfoque multifacético que aborde tanto factores técnicos como organizativos”. El experto apunta que algunos pasos clave que se pueden tomar para mejorar la ciberseguridad en el sistema de salud español son la evaluación de riesgos, el establecimiento de políticas y procedimientos de ciberseguridad, la capacitación de los empleados, los controles de acceso, las actualizaciones y parches regulares de software, las copias de seguridad periódicas, la segmentación de la red, un plan de respuesta a incidentes y programa de inclusión al público no familiarizado con el mundo digital.

“Evidentemente, todas estas medidas requieren de un incremento de la inversión en el área de ciberseguridad y un cambio en la forma de ver la atención sanitaria como una actividad con responsabilidad sobre la información sensible”, concluye.