¿Quiénes son Ransom House, los responsables del ciberataque al Hospital Clínic?

El ciberataque que ha sufrido el Hospital Clínic de Barcelona, que impide al centro acceder a los historiales de los pacientes y que ha obligado a desprogramar unas 3.000 consultas externas y 150 cirugías no urgentes, es obra de la organización de cibercrimen Ransom House.

Según Tomàs Roy, director general de la Agencia de Ciberseguridad de Catalunya, este "adversario" ha "implementado técnicas de ataque nuevas" y, además, ha atacado "de manera transversal" a diferentes servicios del hospital. "Las técnicas utilizadas son novedosas. Tenemos información de que ha habido filtración de datos", ha dicho Roy.

El ciberataque es de tipo 'ransomware, que son aquellos ataques en que los 'hackers' piden un rescate. Es decir, han encriptado los datos del Clínic y ahora el hospital no puede acceder a los mismos. El rescate consiste en entregar las claves para poder desencriptar esa información. La policía y los expertos siempre aconsejan no ceder a la extorsión, aunque muchas empresas pagan porque recuperar los datos es casi imposible. Sin embargo, ceder al chantaje no garantiza que los ‘hackers’ cumplan con su palabra. La Agencia de Ciberseguridad de Catalunya ya ha avanzado que "no habrá ningún tipo de negociación para pagar ni un céntimo", en palabras de Roy.

Sergi Marcén, secretario de Telecomunicacions i Transformació Digital de la Generalitat, ha señalado, por su parte, que todavía es pronto para saber el alcance del ciberataque, pero sí ha afirmado que es "un ataque que ha venido de fuera de España". Es por ello que, además de los Mossos d'Esquadra, está activada la Interpol. El Govern desconoce "cómo ha entrado el ciberataque". "Ahora mismo nos estamos focalizando en recuperar la información", ha explicado Marcén. No se ha visto afectada la historia clínica compartida de los pacientes.

Un ataque al hipervisor

Bruno Pérez Juncà, divulgador en ciberseguridad, subraya que se ha tratado de un ciberataque "directo" contra el Hospital Clínic. "Han atacado al hipervisor", asegura. Se trata de un ataque distinto a los más frecuentes, que han sufrido en un pasado reciente empresas como Estrella Damm o la Universitat Autònoma de Barcelona (UAB). Controlar el hipervisor, explica Pérez Juncà, que también es perito informático, equivale a dominar todo el sistema informático. Antes, ejemplifica, las empresas dependían de un servidor físico que en caso de avería podía provocar que toda la compañía colapsara y que se perdiera mucha información. Ahora, los sistemas informáticos funcionan apoyados en más de un servidor y a través de un hipervisor, que permite operar virtualmente. Los servidores pueden estropearse pero el sistema sigue operativo. El problema ha sido que ese gobernador del sistema del Clínic es lo que han atacado los cibercriminales.

¿Qué es Ransom House?

Hay que desterrar la imagen del 'hacker' encapuchado que opera desde la soledad de una habitación, pide Pérez Juncà, que desea que este ciberataque del Clínic sirva para que se tome conciencia de la amenaza que suponen los cibercriminales para la sociedad. Ransom House es una organización criminal que, como el resto de estructuras similares, opera desde fuera de España. La mayoría de estas redes, que mantienen un alto grado de comunicación y colaboración entre ellas, tienen sede fuera de la Unión Europea.

Tienen fama de ser "educados" en sus comunicaciones con las empresas atacadas y también de contar con personas bien formadas técnicamente. Disponen de páginas webs en las que reivindican sus 'hackeos', que además usan para divulgar datos sensibles de las empresas atacadas.

"A diferencia de lo que ocurre con las administraciones", lamenta el perito informático, estas organizaciones cibercriminales evolucionan rápido. Los países democráticos, en cambio, son mucho más lentos para tomar medidas y además no invierten en ciberseguridad. La diferencia entre los que atacan y los que defienden "comienza a ser abismal", advierte. "Son capaces de provocar que volvamos al lápiz y al papel", asegura.

La impunidad

Existe una plataforma gestionada por la Interpol que informa de claves útiles contra algunos virus de 'ransomware'. Sin embargo, los 'hackers' desarrollan programas nuevos. "E incluso los ceden a otros 'hackers' a cambio de un porcentaje de los beneficios", explicaba a este diario recientemente un agente de los Mossos d’Esquadra adscrito a la Unitat Central de Delictes Informàtics. La cruda realidad es que van por delante. Y estas organizaciones criminales además cuentan con la nula colaboración con las policías europeas de gobiernos como el ruso u otros países del Este. "Dentro de Europa la cooperación es buena pero fuera, y siempre están fuera, la cosa se complica mucho", subrayaba entonces el citado agente de los Mossos, que añadía que para los policías resulta "frustrante" no poder detenerlos tras averiguar dónde se encuentran los 'hackers'.

Los consejos

Los Mossos d'Esquadra aconsejan a las empresas guardar siempre las copias de seguridad en lugares no conectados a la misma red de trabajo. Esto es fundamental: si las copias están conectadas a la misma red también quedarán inutilizadas. La policía catalana también recuerda que la ley obliga a encriptar los datos más sensibles, los que afectan a la intimidad de los ciudadanos, por ejemplo. Si esa información está cifrada, el 'ransomware' de un ciberataque no le afectará.

La Generalitat recibe al año 1.700 millones de ataques informáticos (400.000 diarios) y 2.000 de ellos se transforman en algún tipo de incidencia.

Suscríbete para seguir leyendo