Ciberataque a un hospital alemán en tiempos de pandemia

La muerte de una paciente en Alemania tras un ataque informático a un centro médico es el último episodio de una tendencia que corre el riesgo de agudizarse con la covid-19

Entrada del Hospital Universitario Uniklinik en Dusseldorf (Alemania).
Entrada del Hospital Universitario Uniklinik en Dusseldorf (Alemania).Lukas Schulze /

“El hospital universitario de Düsseldorf vuelve a estar listo para atender emergencias. Tras el fallo informático, el sistema funciona de nuevo”. El mensaje que preside la página web de este centro médico alemán es el vestigio de un suceso, que amenaza con ser solo el comienzo de una nueva era, en la que los ataques informáticos puedan acabar cobrándose vidas.

Fue hace un par de semanas, cuando el sistema informático del UKD, el hospital de Düsseldorf, se cayó. La Fiscalía, el Ministerio de Justicia, la policía y técnicos informáticos concluyeron que la causa del fallo fue un ciberataque. “El fallo de seguridad fue detectado en un software común en el mercado y que se puede comprar en todo el mundo […] transcurrió el suficiente tiempo para penetrar en el sistema y que se produjera un acto de sabotaje”, informó el hospital en una nota.

El ataque afectó a 30 servidores del centro médico, según la investigación policial. El servicio de Urgencias estuvo cerrado durante 13 días. Durante ese tiempo, no se pudo acceder a la información almacenada en el sistema. Las máquinas –de rayos X, resonancias…- funcionaban, pero las imágenes no se podían enviar a los ordenadores de los médicos, por lo que estos tenían que acudir físicamente a las máquinas para ver las pantallas. La situación se volvió insostenible, según detalla el portavoz del centro a este diario.

Durante esos días además, las ambulancias tuvieron que ser desviadas a otros hospitales de la zona. En una de ellas viajaba una mujer de 78 años, trasladada a Wüppertal, a unos 35 kilómetros, y cuya muerte está potencialmente asociada a la demora en la atención, investiga ahora la Fiscalía de Colonia, según confirma por teléfono su portavoz, Ulrich Bremer. La investigación está todavía en marcha y no es posible determinar hasta qué punto la muerte se puede atribuir al ataque. “La cuestión es saber qué hubiera pasado si el hospital de Düsseldorf hubiera estado abierto”, explica Bremer. Es necesario averiguar también por qué la ambulancia no llevó a la mujer a un hospital más cercano.

Pero al margen del resultado de la investigación, el caso ha disparado la preocupación en todo el mundo. La posibilidad de que un ciberataque se cobre vidas físicas es cada vez más real. La Oficina Federal de Investigación alemana (BKA) asegura que “los sistemas de salud se han convertido en un objetivo atractivo durante la pandemia dentro y fuera de Alemania”. Citan como ejemplo cómo departamentos de salud y universidades en Canadá implicadas en la lucha contra la covid-19 fueron atacadas con variantes de ransomware (secuestro de datos). Añaden a través de correo electrónico, que aunque en el pasado también ha habido ataques a infraestructuras críticas, en plena pandemia, los efectos serán previsiblemente más graves. En abril la Interpol ya advirtió del crecimiento de ataques contra hospitales. “Los atacantes saben perfectamente que atacan a un hospital. La tendencia solo se ha incrementado desde entonces. No hay ningún respeto especial” por tratarse de un hospital, dice Xavier Hidalgo, fundador de Redhacking y con una carrera muy vinculada a hospitales.

Sistemas informáticos muy expuestos

Algunas bandas de ciberdelincuentes anunciaron en marzo que dejarían de atacar hospitales por la pandemia, pero o no han cumplido su promesa o hubo grupos que no lo prometieron. Lo cierto es que los ataques a centros sanitarios han crecido. En su informe de tendencias para este año, recién publicado esta semana, el Centro Criptográfico Nacional español (CCN) cita el ransomware contra centros médicos como una de sus preocupaciones: “Un análisis realizado por una compañía aseguradora ha cifrado en un 350% este incremento durante 2019. Es previsible que esta tendencia se mantenga o acelere durante 2020, y de hecho, ya se han registrado ataques contra organizaciones y laboratorios implicados en la lucha contra el coronavirus”, dice el informe.

Similar preocupación muestra el informe anual de ciberseguridad alemán presentado esta semana, donde cifran en 100.514 los casos de ciberdelitos de todo tipo, lo que supone un incremento del 15% respecto al año anterior. Detalla la BKA que los objetivos preferidos de los criminales son empresas o instituciones públicas. “En los últimos meses, los criminales se han aprovechado de la pandemia, ocultando malware en supuestos correos electrónicos de agencias oficiales con información sobre el covid-19 por ejemplo”, indican.

El año pasado, hospitales y otros servicios de la Cruz Roja alemana en el Sarre y Renania-Palatinado se vieron afectadas por ciberataques. Ha habido también ataques similares en Francia y en la República Checa esta primavera. El pasado fin de semana, fue hackeado también uno de los grandes grupos de salud de EE UU. Empleados de distintos centros de UHS (el servicio de salud) en varios Estados del país norteamericano describían en un hilo de la red social Reddit cómo sus sistemas dejaron de funcionar de repente.

Los hospitales son objetivo de los criminales del ransomware porque sus datos son esenciales y su ciberseguridad no está bien trabajada: “Son un caramelo”, explica Hidalgo. “No disponen de presupuesto para ciberseguridad y la tratan de manera tradicional, basada en un antivirus o un firewall y poco más. Están muy expuestas y poco preparadas para contener un ataque”, añade. Hay muchas maneras de actuar contra un hospital. En junio vendían por ejemplo en un foro en la dark web acceso como administrador del sistema “a un gran hospital europeo” por 3.000 euros. Esa vulnerabilidad se vuelve especialmente aguda en tiempos de pandemia. Los expertos explican que los profesionales están más ocupados y cualquier promesa de medicamento o dato útil será recibida con un clic, aunque el correo tenga un aspecto raro.

Los ataques además, son cada vez más complejos y dirigidos. “Hasta el momento estos ataques han tenido un impacto relativo sobre las operaciones al afectar a sistemas de información [historias médicas, citas], es previsible un impacto potencial todavía mayor si el malware [software diseñado para causar daño} se extiende hasta los segmentos en los que se encuentran otros sistemas imprescindibles para la operación de un hospital, como son el sistema de gestión del edificio, los sistemas de generación de energía de emergencia, los equipos de diagnóstico por imagen o tratamiento, de almacenamiento y distribución de gases medicinales”, explica el CCN.

El ransomware es un ataque que cifra la información que contienen los discos duros de una empresa u organización. Para poder recuperarlos, los criminales ofrecen la clave a cambio de un rescate. La cantidad de dinero que piden depende a menudo del tamaño y la importancia del objetivo. Cada vez más, los delincuentes no solo cifran indiscriminadamente la información, sino que procuran robarla para amenazar con su publicación en la web y provocar más necesidad de pagar en la víctima. Contra alguien que quiere publicar en abierto miles de historiales médicos, de nada sirve una copia de seguridad en el sistema. “Hay que distinguir entre los hospitales y las clínicas por ejemplo de estética”, dice Josep Albors, responsable de investigación de Eset España, una empresa de seguridad. “Las clínicas manejan más dinero y no son críticas, pero la confidencialidad de sus datos es importante”, añade.

Morder el anzuelo

La mayoría de estos ataques empieza con un correo electrónico, que puede ser enviado a miles de direcciones a ver quién muerde el anzuelo o va dirigido a alguien, con una petición concreta. En el caso de los que son enviados al destinatario de un email concreto, el gerente de un hospital, por ejemplo, recibe un correo creíble en el que se le pide que actualice unas credenciales o abra un documento. Si lo hace, los criminales acceden al sistema. Primero, observan durante días qué hay y luego actúan.

En el caso alemán, la policía contactó con los hackers. En la Fiscalía explican que desconocen su identidad, pero que hablaban en ruso. Los cibercriminales entregaron los códigos de acceso a los servidores encriptados, para que el hospital pudiera operar de nuevo y alegaron que en realidad querían atacar a la universidad y que no llegaron a pedir un rescate.

Frente al alarmismo ante el aumento de casos y su peligrosidad, hay quien prefiere ver el vaso medio lleno. Hay expertos que explican que estas redes de cibercriminales actúan en un gris donde llamar mucho la atención es peligroso. Desde los países donde operan no se les somete a la suficiente presión policial porque los problemas que causan son, sobre todo, económicos y puntuales. Si hay gente que empieza a morir a causa de los ataques, la situación podría cambiar: “En momentos como el actual es muy atractivo para un delincuente atacar un gran hospital y causar un colapso. ¿Les interesa? No, por un motivo sencillo. Si estos ataques provocan víctimas harán que más gente se fije en ellos y por tanto las fuerzas de seguridad y esa supuesta inmunidad de la que gozan en otros países, se acabaría”, dice Josep Albors.

Más información

Lo más visto en...

Top 50