Los expertos avisan de fallos en el ciberataque al hospital Clínic de Barcelona: “Las defensas actuales permiten pararlo”

El grupo que el pasado domingo atacó el sistema informático del hospital Clínic de Barcelona, RansomHouse, con un virus que lleva el mismo nombre, lo ha hecho anteriormente en otros hospitales o administraciones públicas. Son ciberataques que se produjeron en 2021 y contra los que ya existen sistemas de protección, explican expertos en ciberseguridad consultados, que alertan de que el hospital barcelonés no estaba bien protegido. La Generalitat insiste en que se trata de un virus nuevo, complejo y sofisticado, y señala a los piratas como delincuentes, pero fuentes de la investigación admiten la existencia de agujeros en el sistema de protección del Clínic. En el hospital, un portavoz asegura que las defensas del centro eran “las correctas”.

“RansomHouse es de finales de 2021 y se utilizó para atacar hospitales en Colombia y administraciones públicas en Canadá. Desde entonces el virus está dando vueltas y las defensas actuales permiten pararlo. El Clínic no las tenía preparadas, o no estaban implementadas o no estaban bien implementadas”. Lo explica el experto en ciberseguridad y director general de Secure&IT, Francisco Valencia, una empresa que trabaja para varias empresas y entidades del sector médico y farmacéutico. El experto pone en duda que el del Clínic fuera un “ataque selectivo”. “Estos grupos envían el virus de forma indiscriminada a miles de correos del sector sanitario, porque compran listas, a ver si algún usuario pica: si alguien hace un click, o encuentra una contraseña expuesta”, añade. A partir de ahí, el virus va infectando, por carpetas o sistemas. Y los datos no siempre se encriptan: en ocasiones hay un primer ciberataque que consiste en infectar una empresa; y luego los autores venden a un segundo grupo el control de los datos y éste decide si los encripta, los borra, los publica... relata Valencia.

Otro experto, Sancho Lerena, director general y fundador de Pandora FMS, alerta de que las empresas y administraciones realizan grandes inversiones en Tecnologías de la Información, tanto en maquinaria como en software, sistemas que “añaden mucha complejidad a la gestión del día a día”, pero que “si no se cuida esta gestión y se forma a los usuarios, se está más expuesto”. “Si un hospital tiene 500 equipos informáticos, con que haya uno que está mal protegido, el malo se va a colar por ahí. No se trata tanto de proteger la puerta principal, sino de vigilar que todas las ventanas estén bien cerradas, de gestionar la infraestructura, las máquinas que se meten dentro” avisa y concluye: “Se invierte en máquinas y programas, y poco en gestionar la infraestructura: hay herramientas, pero no están de moda”.

Los dos expertos coinciden en que el sanitario es uno de los sectores más rentables para los ciberdelincuentes, que lo que buscan es dinero o información para convertirla en dinero. “El ataque estrella es secuestrar datos y los sectores que tienen más probabilidad de pagar son tres”, enumera Valencia: “La administración (porque tiene datos de la ciudadanía y el impacto social y político de un ataque es enorme), la industria (se puede parar una fábrica, una cadena logística) y el sanitario, porque se ponen vidas en peligro”. “Los datos médicos son los más sensibles”, añade Lerena que ve necesaria “mucha más concienciación: todas las empresas deberían dar formación en seguridad a todo el mundo que tenga una pantalla delante”.

Las mismas fuentes de la investigación sobre el ciberataque al Clínic que admiten fallos de seguridad en los sistemas de protección del hospital, explican que las copias de seguridad que se están analizando están en buen estado, aunque no precisan de qué fecha son (depende de cada cuánto tiempo se realizaban). Los expertos advierten, con todo, de que puede haber sistemas infectados pero todavía no cifrados. Por dos razones: porque cifrar un sistema entero lleva tiempo, pueden ser semanas o meses; o porque el pirata infecta pero no cifra, a la espera de evaluarlos o decidir qué hacer con ellos.

Sobre una eventual con negociación con los ciberatacantes, Francisco Valencia recomienda “no hacerlo nunca”. Por tres razones, argumenta: porque es una negociación “con delincuentes, no con iguales” y no hay garantía de que de que cumplan con lo pactado; porque de alguna forma se colabora en que los ataques informáticos sigan ocurriendo; y porque podría considerarse un delito financiar una acción que puede llegarse a considerar terrorista. “La solución es invertir en prevención”, insiste.

Puedes seguir a EL PAÍS Catalunya en Facebook y Twitter, o apuntarte aquí para recibir nuestra newsletter semanal