El Hospital Clínic reconoce por primera vez que el ciberataque podría comprometer datos personales

Tres semanas después de ser víctima de un ciberataque, el Hospital Clínic de Barcelona sigue parcialmente paralizado e investigado la afectación de esa agresión informática. Ayer, por primera vez, el centro reconoció en un comunicado publicado en su página web (pero que no mandó a la prensa) que "se podría haber comprometido la confidencialidad de los datos de pacientes y trabajadores".

El pasado 5 de marzo, el Clínic recibió un ataque de tipo 'ransomware', un método con el que los cibercriminales secuestran datos especialmente importantes y piden un rescate para desbloquear su acceso. RansomHouse, el grupo de piratas informáticos detrás de la agresión, ha reclamado al Govern el pago de 4,5 millones de dólares (4,2 millones de euros) para liberar los 4,4 terabytes de datos afectados, una exigencia que las autoridades han rechazado.

El centro confirmó este lunes que aún no pueden consultar los archivos de los servidores afectados, lo que dificulta saber el alcance real del ciberataque. Fuentes de la investigación señalaron el pasado 8 de marzo a EL PERIÓDICO que se podrían haber robado datos de ensayos sobre cáncer y enfermedades autoinmunes, ámbitos en los que el centro es puntero. Sanitarios aseguraron entonces a este diario que los atacantes habrían accedido a sus nóminas y datos fiscales.

Sin embargo, las autoridades no han confirmado esas informaciones. En las últimas semanas, han remarcado que el ataque no afectó al SAP, el sistema informático de gestión empresarial en el que se gestionan datos como la información financiera del hospital, nóminas de los trabajadores, investigación o listas de urgencias, entre otros. Sergi Marcén, secretario de Telecomunicacions i Transformació Digital de la Generalitat, aseguró el 10 de marzo que "ni la base de datos estructurales del Departament de Salut ni la historia clínica compartida de los pacientes ha estado comprometida".

Obligación legal

El Clínic ha reconocido el posible golpe a la "confidencialidad de los datos de pacientes y trabajadores" por obligación legal. El artículo 34 del Reglamento General de Protección de Datos (RGPD) establece que, ante una violación de la seguridad de los datos, "el responsable debe comunicar sin dilación indebida a las personas afectadas si es probable que comporten un riesgo alto para sus derechos y libertades". Según ha podido saber EL PERIÓDICO, el hospital ya notificó a la Autoritat Catalana de Protecció de Dades (APDCAT) del ciberataque sufrido —como marca la normativa europea— aunque aún no se han especificado los datos afectados.

La exposición de datos, como es habitual, podría derivar en más ciberataques. "Mientras no se disponga de toda la información se recomienda prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correos electrónicos, terminales móviles u otros medios para evitar eventuales suplantaciones de identidad", reza el comunicado del Clínic.

Cambio de contraseñas

En el comunicado publicado el lunes, el hospital insiste en que está trabajando de forma coordinada con la Agència de Ciberseguretat de Catalunya y con los Mossos d'Esquadra para determinar qué datos han sido afectados, tratar de restaurar la información y realizar un "cambio masivo" de contraseñas.

Aunque sigue sin tener acceso a internet, el Clínic ha podido recuperar parte de su actividad gracias a que el equipo de ciberseguridad del centro ha podido levantar un sistema paralelo al afectado. El pasado viernes, el hospital informó que se habían podido recuperar un 48% de los servidores, que estaban siendo analizados para detectar que no hubiese rastro en ellos del virus implantado por los piratas informáticos.

Atacar los sistemas informáticos de los hospitales es un método al que cada vez recurren más cibercriminales, pues al poner vidas en riesgo genera mucha más presión a las víctimas para que paguen. Aún así, tanto cuerpos policiales como expertos en ciberseguridad recomiendan no ceder al chantaje, pues alimenta ese oscuro negocio.