España ha sufrido 45 ciberataques de robo de datos sanitarios en la pandemia

Las fuerzas de ciberseguridad han intervenido desde el inicio de la pandemia en 45 intentos de robo de datos sanitarios o de información científica de personas, empresas o entidades de investigación con sede en España. En el último mes, según fuentes policiales consultadas por EL PERIÓDICO, tres de ellos se dirigieron contra un instituto público sanitario, las oficinas de un laboratorio en Madrid y una empresa catalana relacionada con la investigación de un tratamiento contra el covid-19.

Desde la fecha clave de esta pandemia del 12 de marzo de 2020 hasta la actualidad, el Instituto Nacional de Ciberseguridad (INCIBE) ha dado soporte en más de 100.000 ataques cibernéticos de todo tipo a ciudadanos y entidades españolas. De esos, 450 estaban relacionados con el covid y consistían en su mayoría, un 90%, en campañas de phishing, estafas por email con productos sanitarios, bulos y desinformación sobre tratamientos o vacunas. De esos 450, un diez por ciento, 45, han estado asociados al robo de datos e información. Son los menos, “pero los que tienen un mayor peligro potencial”, comenta el subdirector del instituto, Marcos Gómez. El porcentaje de esos ataques que llegó a ser neutralizado es secreto.

El origen de la mayoría de esos ataques no ha podido ser esclarecido, pues “en el 99 por ciento de los casos el atacante se dota de herramientas que anonimizan su conexión a Internet, tales como VPN anónimas o proxys también anónimos, que ayudan a borrar u ocultar totalmente su rastro”, explica Gómez. Dotarse de una de estas herramientas de camuflaje apenas supone 40 dólares de compra en internet.

La ciberdefensa puede conseguir el dato del primer punto de conexión de la actividad maliciosa, que puede ser un país en Asia, Oriente Medio o Iberoamérica, o un emplazamiento en suelo español. Pero la IP (número de identificación) del dispositivo -generalmente un ordenador, pero puede ser incluso un teléfono móvil- que utiliza el delincuente suele estar en la casi totalidad de los casos “anonimizada o bien ofuscada”, explica Gómez.

La fuentes policiales consultadas corroboran la dificultad en el rastreo del origen del ataque, y también un fenómeno que no reduce su frecuencia: una buena parte de las entidades privadas atacadas no denuncian ante la Justicia ni llevan su caso a la Policía o la Guardia Civil por no incrementar su daño con un deterioro de su reputación comercial.

Buscan un agujero

Los ataques recibidos hasta el momento se caracterizan en su mayoría por buscar una vulnerabilidad en la empresa o entidad, “un agujero de seguridad, un software o un hardware no bien protegido por el que entrar en el sistema para robar información –explica el subdirector del INCIBE-. La otra vía de ataque es la social: buscan a algún empleado sin cultura de seguridad en la organización, le envían un correo o un SMS en el que le invitan a pinchar en un enlace. Si su equipo no está bien protegido, lo infectan, y a partir de esa infección infectan los demás”.

España está en el séptimo lugar del ranking internacional de países con mayor ciberseguridad, por delante de Francia y Alemania, “pero somos un plato jugoso para los cibertaques -explica Marcos Gómez-. En el ámbito sanitario tenemos empresas muy fuertes que o bien están fabricando vacunas o bien colaborando en alguno de los procesos de almacenaje de la vacuna”, .

A los atacantes les interesan no solo los datos de la investigación, “también los de los pacientes, los ritmos de vacunación, los efectos secundarios y la información de quiénes van a ser vacunados”.

Los datos sanitarios robados, especialmente los perfiles médicos de los ciudadanos, no solo puede interesar en el negocio de los laboratorios farmacéuticos; también a nivel militar, confirman fuentes de las Fuerzas de Seguridad del Estado, si una potencia extranjera precisa “estudiar o teorizar el potencial de ataques biológicos o de desestabilización de los servicios de salud en un escenario de guerra”, indica una de estas fuentes. Es lo que Marcos Gómez describe como “elaborar un mapa de debilidades biológicas” del país.

Alerta en Moncloa

Moncloa sigue el panorama de ataques cibernéticos a enclaves estratégicos del país con el Operativo Especial de Vigilancia Digital. En torno a su mesa se sientan representantes de los ministerios de Interior, Defensa, Asuntos Económicos, Ciencia y Tecnología y Sanidad, además del CNI, el Centro Criptológico Nacional y el Departamento de Seguridad Nacional de Presidencia del Gobierno.

Este dispositivo se activaba en ocasiones clave, como la celebración de unas elecciones. Antes de que la epidemia de covid-19 apareciera en el país, el Operativo se había reunido por última vez con motivo de la cumbre climática de Madrid COP25, a mediados de diciembre de 2019.

Con la pandemia y declarado el primer estado de alarma, volvió a constituirse en momentos clave de la primavera pasada. Ahora, el Operativo Especial está activado sin interrupción desde diciembre, con ocasión del inicio de la campaña de vacunación.

Los ejércitos, desde el Mando Conjunto del Ciberespacio que depende el Estado Mayor de la Defensa, por su parte patrullan la que en el argot militar llaman "Área de Operaciones del Ciberespacio" o AOCE. En su caso, según fuentes gubernamentales, trabajan estos meses en detectar ciberataques contra la organización de la Misión Baluarte o la red sanitaria del Hospital Central de la Defensa Gómez Ulla de Madrid.

“Bastionar, cifrar, concienciar”

Las vacunas y sus patentes, y los medicamentos para paliar, o en un futuro curar, el covid se han vuelto material estratégico de primera magnitud. En plena pandemia, el INCIBE mantiene contacto estrecho con las empresas farmacéuticas a través de la asociación Farmaindustria. Es una de las vías que el Gobierno ha buscado para blindar los datos de investigación y médicos del país, más allá de la activación de un teléfono de alarma por cibertaque, el 017, en el que se atiende de nueve la mañana a nueve de la noche.

“El sector sanitario se ha pertrechado estos meses, y ha ido aprendiendo a proteger sus archivos –explica Marcos Gómez-. Es de sentido común suponer que son un blanco ahora. Si viviéramos una crisis de hidrocarburos, por ejemplo, serían empresas como Cepsa o Repsol los blancos de estos ataques”.

Para construir ciberseguridad en el sector, el INCIBE imparte a las empresas, laboratorios y hospitales un prontuario con tres ideas básicas: concienciar, bastionar y cifrar.

“Es importante que los empleados estén concienciados en ciberseguridad, y sepan identificar cualquier solicitud sospechosa de información”, explica Gómez en torno a la primera recomendación, y resume la segunda: “Equipos bien bastionados, bien protegidos, con los últimos parches de seguridad del fabricante, y nunca dejar configuraciones por defecto”. Sobre la tercera insiste: “Hay que mantener siempre nuestra información más sensible cifrada, los expedientes clínicos, las patentes, los procesos de fabricación de las vacuna… de modo que si alguien se lo lleva no le valga”.

Todo ello, además, sin descuidar la realización de copias de seguridad, porque el ciberatacante “también puede entrar en nuestro sistema y, en vez de llevarse la información, cifrarla y hacernos imposible su uso”, advierte.

Suscríbete para seguir leyendo