Delincuencia informática
El Hospital Clínic reconoce por primera vez que el ciberataque podría comprometer datos personales
Tres semanas después, el centro hospitalario de Barcelona sigue sin internet, con la atención de urgencias afectada y sin determinar qué información ha quedado expuesta
Carles Planas Bou
Periodista
Periodista tecnológico entre el mundo digital y la política internacional. Centrado en capitalismo de plataformas, IA, vigilancia y derechos digitales. Excorresponsal en Berlín durante más de cuatro años, cubrió los gobiernos de Merkel, la crisis de los refugiados y el auge de la extrema derecha. También ha trabajado en Europa Central y en Canadá. Graduado en Periodismo por la URL y máster en Relaciones Internacionales por la UAB. Ha colaborado con TV3, TVE, Deutsche Welle, Catalunya Ràdio, El Orden Mundial o El Salto.
Carles Planas Bou
Tres semanas después de ser víctima de un ciberataque, el Hospital Clínic de Barcelona sigue parcialmente paralizado e investigado la afectación de esa agresión informática. Ayer, por primera vez, el centro reconoció en un comunicado publicado en su página web (pero que no mandó a la prensa) que "se podría haber comprometido la confidencialidad de los datos de pacientes y trabajadores".
El pasado 5 de marzo, el Clínic recibió un ataque de tipo 'ransomware', un método con el que los cibercriminales secuestran datos especialmente importantes y piden un rescate para desbloquear su acceso. RansomHouse, el grupo de piratas informáticos detrás de la agresión, ha reclamado al Govern el pago de 4,5 millones de dólares (4,2 millones de euros) para liberar los 4,4 terabytes de datos afectados, una exigencia que las autoridades han rechazado.
El centro confirmó este lunes que aún no pueden consultar los archivos de los servidores afectados, lo que dificulta saber el alcance real del ciberataque. Fuentes de la investigación señalaron el pasado 8 de marzo a EL PERIÓDICO que se podrían haber robado datos de ensayos sobre cáncer y enfermedades autoinmunes, ámbitos en los que el centro es puntero. Sanitarios aseguraron entonces a este diario que los atacantes habrían accedido a sus nóminas y datos fiscales.
Sin embargo, las autoridades no han confirmado esas informaciones. En las últimas semanas, han remarcado que el ataque no afectó al SAP, el sistema informático de gestión empresarial en el que se gestionan datos como la información financiera del hospital, nóminas de los trabajadores, investigación o listas de urgencias, entre otros. Sergi Marcén, secretario de Telecomunicacions i Transformació Digital de la Generalitat, aseguró el 10 de marzo que "ni la base de datos estructurales del Departament de Salut ni la historia clínica compartida de los pacientes ha estado comprometida".
Obligación legal
El Clínic ha reconocido el posible golpe a la "confidencialidad de los datos de pacientes y trabajadores" por obligación legal. El artículo 34 del Reglamento General de Protección de Datos (RGPD) establece que, ante una violación de la seguridad de los datos, "el responsable debe comunicar sin dilación indebida a las personas afectadas si es probable que comporten un riesgo alto para sus derechos y libertades". Según ha podido saber EL PERIÓDICO, el hospital ya notificó a la Autoritat Catalana de Protecció de Dades (APDCAT) del ciberataque sufrido —como marca la normativa europea— aunque aún no se han especificado los datos afectados.
La exposición de datos, como es habitual, podría derivar en más ciberataques. "Mientras no se disponga de toda la información se recomienda prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correos electrónicos, terminales móviles u otros medios para evitar eventuales suplantaciones de identidad", reza el comunicado del Clínic.
Cambio de contraseñas
En el comunicado publicado el lunes, el hospital insiste en que está trabajando de forma coordinada con la Agència de Ciberseguretat de Catalunya y con los Mossos d'Esquadra para determinar qué datos han sido afectados, tratar de restaurar la información y realizar un "cambio masivo" de contraseñas.
Aunque sigue sin tener acceso a internet, el Clínic ha podido recuperar parte de su actividad gracias a que el equipo de ciberseguridad del centro ha podido levantar un sistema paralelo al afectado. El pasado viernes, el hospital informó que se habían podido recuperar un 48% de los servidores, que estaban siendo analizados para detectar que no hubiese rastro en ellos del virus implantado por los piratas informáticos.
Atacar los sistemas informáticos de los hospitales es un método al que cada vez recurren más cibercriminales, pues al poner vidas en riesgo genera mucha más presión a las víctimas para que paguen. Aún así, tanto cuerpos policiales como expertos en ciberseguridad recomiendan no ceder al chantaje, pues alimenta ese oscuro negocio.
- Muere Itxaso Mardones, reportera de Gloria Serra en 'Equipo de investigación', a los 45 años
- Hacienda te devuelve 300 euros si tienes un hijo menor de 25 años y 900 si tienes dos: así tienes que ponerlo en la declaración de la renta
- ¿Llamadas que cuelgan? Así son las robollamadas, la nueva táctica de spam telefónico
- Adiós a los cajones de la cocina: la solución con perchas que puedes colocar en cualquier parte
- Sánchez se plantea renunciar y convocar elecciones tras la investigación a su esposa
- La querella del novio de Ayuso se admitirá a trámite pese a la campaña del fiscal para que sea rechazada
- El CIS publica una encuesta sobre las elecciones en Catalunya a pocas horas del comienzo de la campaña
- Pedro Sánchez se plantea renunciar como presidente del Gobierno tras la investigación a su mujer