Ciberataque de RansomHouse

Los ciberpiratas exigen al Hospital Clínic 4,5 millones de dólares a cambio de no divulgar datos

El gran apagón del Clínic: ¿cómo se trabaja en un hospital sin internet?

La investigación del ciberataque apunta al robo de ensayos del Clínic

El ciberataque contra el Hospital Clínic usa una técnica "novedosa" y viene de fuera de España

¿Quiénes son RansomHouse, los responsables del ciberataque al Hospital Clínic?

Estos son los CAP de Barcelona afectados por el ciberataque al Hospital Clínic

El Govern, que se niega a pagar, cree que hay una "elevada probabilidad" de que la información empiece a circular por la 'dark web' "en cualquier momento"

Los 'hackers' exigen al Hospital Clínic 4,5 millones de dólares a cambio de no divulgar datos

Los ciberpiratas exigen al Hospital Clínic 4,5 millones de dólares a cambio de no divulgar datos. / FRANCISCO AVIA / CLÍNIC / VÍDEO: PI STUDIOS

Carles Planas Bou
Beatriz Pérez
Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

La empresa de cibercrimen RansomHouse reclama al Govern el pago de 4,5 millones de dólares (4,2 millones de euros) para no hacer públicos ni revender los datos del Hospital Clínic de Barcelona que sustrajo el pasado domingo con un ciberataque del tipo ransomware, el cual sigue afectando a la actividad del centro médico. "No pagaremos ni negociaremos con estos cibercriminales", ha insistido Sergi Marcén, el secretario de Telecomunicacions i Transformació Digital de la Generalitat.

Entre los datos que podrían publicar los delincuentes se encuentran investigaciones y ensayos sobre cáncer y enfermedades autoinmunes, campos en los que el Clínic es puntero. Este viernes, cinco días después del ciberataque, el hospital sigue sin internet y sus profesionales, trabajando de manera manual, en papel, como hace 20 años.

Fuentes cercanas al centro aseguran a EL PERIÓDICO que se está reclutando a expertos en ciberseguridad externos, que seguirán trabajando este fin de semana a contrarreloj para tratar de reiniciar el sistema informático del Clínic y recuperar cuando antes sus servicios.

Estos delincuentes, que proceden de fuera de España y utilizaron una una técnica "novedosa" para cometer la agresión informática, se han puesto en contacto con la Generalitat en las últimas horas con esta última reclamación. La Generalitat trabaja ya en un escenario de "posible publicación de datos", algo que se puede producir "en cualquier momento". RansomHouse aún no ha expuesto datos del hospital en su canal de Telegram, donde suele hacerlo.

Ante esta amenaza, el Govern está elaborando un protocolo para prevenir a los profesionales y pacientes del Clínic ante el posible envío de mensajes falsos. "Desconfiemos siempre de los mensajes que pidan dinero o datos, y evitemos hacer clic en links sospechosos", ha dicho Tomàs Roy, director general de la Agència de Ciberseguretat de Catalunya. "El hospital no ha perdido ningún dato, los datos están, pero no podemos acceder a ellos. Así que si os llaman pidiendo datos con la excusa de este incidente, sabed que es falso".

Filtración en la 'dark web'

Los Mossos d'Esquadra están en alerta. "Haremos patrullaje en la 'dark web’ y, en el momento en que se produzca esta filtración de información, la eliminaremos del sistema para que no corra por la red", ha señalado por su parte Ramon Chacon, jefe de la Comisaria General de Investigación Criminal del cuerpo policial catalán.

La web oscura es un espacio digital anónimo y cifrado en el que habita un mercado negro de todo tipo de productos y servicios ilegales, desde el tráfico de armas y drogas a la pornografía infantil o el cibercrimen.

Marcén ha explicado que RansomHouse ha secuestrado cuatro terasbytes de datos. Esa cantidad equivaldría al almacenamiento de unos 64 teléfonos móviles básicos. Ha insistido en que el Govern desconoce a qué tipo de datos han accedido, pues aún no se ha podido acceder al contenido de las copias de seguridad del centro. Aun así, fuentes de la investigación aseguraban hace días a EL PERIÓDICO que preocupa principalmente el robo de ensayos clínicos sobre cáncer y enfermedades autoinmunes.

Cinco días después del ataque, el hospital tiene en marcha el 15% de sus sistemas digitales. Marcén ha insistido en que no se ha comprometido el historial clínico de la Conselleria de Salut, sino solo los del Clínic, y que no habrá "ningún tipo de negociación con ellos", siguiendo así las recomendaciones de los expertos. Como prueba de vida, los cibercriminales han mandado una imagen del "árbol de vida principal del hospital" a las autoridades.

Los Mossos han avisado de que cualquier empresa que compre estos datos también estaría incurriendo en un delito. "La posibilidad de compraventa de estas credenciales existe, pero no hay una gran clientela. No hay un gran mercado, pero sí se puede hacer esta venta y un traspaso de información", ha señalado Chacón.

Recuperación progresiva

El Hospital Clínic, que ya ha recuperado el 40% de la actividad compleja, el 40% de la actividad quirúrgica menos compleja, el 70% de las consultas externas y los códigos ictus e infartos. Y cree que, "si todo va bien", podría recuperar la normalidad "el lunes o martes". Así lo ha adelantado el director médico del centro, Antoni Castells. 

Sin embargo, los sanitarios siguen trabajando con papel y boli. "Laboratorio y farmacia son los que más han sufrido este ataque porque han tenido que hacer todo su trabajo en papel. Todas las prescripciones farmacéuticas se han hecho en papel", ha añadido Castells.

Pese a todo este "esfuerzo ingente", esta semana el Clínic ha dejado de hacer más de 4.000 analíticas de pacientes ambulatorios (sí se han hecho de todos los ingresados), más de 300 intervenciones y más de 11.000 visitas a consultas externas.

Tampoco se ha podido hacer la radioterapia oncológica: 25 pacientes del Clínic están siendo tratados en Sant Pau y otros 10 que iban a empezar el tratamiento aquí lo han comenzado en Sant Pau y Vall d'Hebron. El Clínic sí ha podido "sacar" más de 200 ordenadores de "contingencia" para acceder a la historia clínica de los enfermos, y otros 80 ordenadores han podido acceder a la historia clínica compartida.

Un 0,02% de posibilidades

Marcén ha defendido que el hospital estaba "bien preparado" para prevenir ciberataques y que tiene "buenos sistemas de información". "Pero siempre hay una pequeña posibilidad, un 0,02%, de que pasen estas cosas. Y, desgraciadamente, ha pasado", ha lamentado. Eso significa que el Clínic no recibirá multa o sanción alguna por lo ocurrido.

La Agència de Ciberseguretat de Catalunya apoya esa versión. El Clínic estaba bien protegido. No solo es un hospital puntero en medicina, sino también en el ámbito tecnológico, con una capacidad de protección muy elevada", ha asegurado Roy. Los esfuerzos de la Generalitat se centran ahora en que no haya "nuevos incidentes".

El 'modus operandi'

RansomHouse no es un grupo de cibercriminales al uso. Se cree que su primera aparición fue en diciembre de 2021, según BleepingComputer. En el manifiesto que tienen colgado en su portal en la 'dark web', aseguran no secuestrar información y se venden como una "comunidad" de expertos en ciberseguridad que busca recompensas detectando fallos de seguridad en los sistemas informáticos de empresas y entidades. "No tenemos nada que ver con ninguna infracción", aseguran en su portal en la 'dark web'. "Creemos que los culpables no son quienes encontraron la vulnerabilidad o llevaron a cabo el pirateo, sino quienes no cuidaron la seguridad, quienes no pusieron un candado en la puerta y la dejaron abierta de par en par, invitando a todo el mundo a entrar".

Las proclamas de su manifiesto podrían ser una mentira, pues contra el Clínic sí han recurrido al secuestro y a un método de doble extorsión, según confirman los Mossos. Primero, infectan el sistema informático del hospital con un virus que bloquea el acceso a la información y exigen el pago de un rescate para desbloquearlos. Si la víctima decide no pagar, los atacantes roban los datos y amenazan con venderlos a terceros. Si nadie está interesado en comprarlos, RansomHouse suele hacerlos públicos en su página web o en su canal de Telegram.

"Nunca se debe pagar, es un consejo de todas las policías del mundo. Si pagamos, dotamos económicamente a estas organizaciones y podrían hacer muchísimos más ataques. La única manera de parar esto es que nadie pague", ha defendido Chacón. "Estos grupos quieren lucro, así que descartamos otras actividades delictivas". El objetivo de los Mossos es restablecer el sistema, bloquear estos datos para que no se puedan vender o publicar, identificar a estos criminales y llevarlos ante la justicia. Eso es especialmente difícil, pues operan desde el extranjero y se desconoce quién está detrás.

En 2022, Catalunya recibió 68.000 actividades relacionadas con el cibercrimen, la mayoría estafas. De tipo 'ransonware', como el ahora sufrido por el Clínic, hubo unas 600, un 1% del total.