(+34) 910 42 42 93 [email protected]

ciberataque hospital clinic

El pasado 5 de Marzo, el Hospital Clinic de Barcelona fue víctima de un ciberataque de tipo ransomware, el cual afectó a los servicios sanitarios del hospital, llegando incluso a producir la suspensión temporal de intervenciones quirúrgicas, lo que ha puesto en riesgo la salud de los pacientes del hospital.

Desde Cyberbrainers hemos analizado el ciberataque llevado a cabo para conocer su grado de afectación, cómo se ha realizado y quién se encuentra detrás del ataque. Realizar dicho análisis es importante para que los especialistas en DFIR (del inglés, Data Forensics & Incident Response) puedan conocer qué brechas de seguridad se han utilizado para llevar a cabo el ataque, pudiendo implementar salvaguardas técnicas y organizativas que permitan evitar una intrusión de esta gravedad en el futuro.

1. Situación previa al ciberataque del Hospital Clinic

El Hospital Clinic se trata de una infraestructura crítica, como todos los hospitales públicos y privados del país. Por ello, es necesario implantar controles que permitan proteger en profundidad los activos del sector sanitario, para evitar que se puedan vulnerar las dimensiones de seguridad del ENS; confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de los activos de información. El Esquema Nacional de Seguridad (ENS, regulado en España por el Real Decreto 311/2022) se aplica a los sistemas de información de la AAPP española, incluyendo las entidades de derecho privado vinculadas o dependientes de la AAPP. Esto posiciona al Hospital Clinic de Barcelona como un objetivo rentable de ciberataques, ya que tratan información muy transcendental de los pacientes, la que tiene un valor intangible para la Generalidad de Cataluña en este caso.

Por ello, el Hospital Clinic cuenta con protección que permita evitar ataques de diferente índole, sin embargo, se pueden encontrar brechas de seguridad que permitan introducir software malicioso como sucedió el pasado domingo 5 de marzo.

2. Qué sucedió, cómo sucedió y quién lo produjo

Una vez introducido el potencial interés que tiene el Hospital Clinic de Barcelona y los hospitales en general desde el punto de vista de los ciberdelincuentes, podemos analizar el ciberataque para conocer el origen de la intrusión. El ataque sufrido por el Hospital Clinic fue de tipo ransomware, que se basa en un software malicioso que al introducirse en equipos informáticos de la víctima, cifra la información y acto seguido el cibercriminal exige un rescate (generalmente en BitCoin para anonimizar las transferencias, dificultando encontrar al originador del ataque) para poder recuperar los ficheros cifrados. Dicho ransomware cifró archivos de equipos del laboratorio, farmacia, urgencias, entre otros.

Al inhabilitar el acceso a información sensible de la empresa, el hospital tuvo que paralizar y posponer cirugías, citas médicas, extracciónes, entre otras funciones. Esto pone en riesgo la salud pública de los pacientes ya que además de no poder recibir atención médica, lo que puede tener consecuencias fatales en algunos casos, pueden sufrir la divulgación de su información personal y de su historial médico de forma ilícita, dichos datos pueden ser vendidos o publicados sin su consentimiento, lo que atenta directamente a su derecho a la intimidad.

El ransomware se introdujo aprovechando alguna brecha de seguridad en los sistemas informáticos del Hospital, algunos de ellos utilizando softwares desactualizados que pueden ser atacados empleando vulnerabilidades públicas (denominadas CVE’s, del inglés Common Vulnerabilities and Exposures). Una vulnerabilidad produjo una intrusión no autorizada que originó la difusión del software malicioso encargado de robar y cifrar la información, que puede ser accesible por los ciberdelincuentes. Cabe destacar que un ataque de tipo ransomware también se puede llevar a cabo realizando un ataque de phishing previo que permita obtener las credenciales de acceso de usuarios con privilegios, tras esto, toda la infraestructura se encuentra vulnerable. En el caso del Hospital Clinic, Tomas Roy, Director de la Agencia de Ciberseguridad de Cataluña ha confirmado qué el grupo ciberciminal Random House se encuentra detrás del ataque. Random House es un grupo de ciberdelincuentes que busca extorsionar a diferentes entidades a nivel mundial solicitando el pago de un rescate una vez han cifrado información transcendental de las víctimas. La confirmación por parte de Tomás Roy se puede visualizar en el vídeo publicado en el siguiente artículo.

El grupo Ransom House le ha solicitado a la Generalitat el pago de 4.5 millones de dólares para poder recuperar toda la información secuestrada, aunque la Generalitat se ha negado a pagar dicha cantidad de dinero. La decisión expone los datos personales de los pacientes, que se podrían filtrar en la Deep Web en cualquier momento.

3. Plan de recuperación y medidas de protección a implementar

Tras el ataque, se ha logrado recuperar la actividad hospitalaria en gran medida, aunque gran parte de la gestión de las consultas y procedimientos se ha realizado de forma manual (con bolígrafo y papel como antaño), y poco a poco el Hospital Clinic de Barcelona volverá a la normalidad. Es recomendable que todos los hospitales desarrollen planes de contingencia que permitan asegurar la continuidad de negocio y la recuperación ante desastres, logrando así evitar que el sistema sanitario pueda colapsar como sucedió tras el incidente. Además, se deben actualizar los equipos informáticos para garantizar que cumplen con los niveles de seguridad requeridos, minimizando así la materialización de ataques que logren acceder de forma no autorizado al sistema. Se deberán revisar los salvaguardas implementados, garantizar la segmentación de red y realizar una revisión y mejora continua de todo el sistema de gestión seguridad de información, además de analizar si la arquitectura de red empleada garantiza una defensa en profundidad.

Es importante mencionar que el software que se emplea en los ataques de ransomware no es muy sofisticado, de hecho, este tipo de ataques son facilmente detectables. Tecnologías de ciberseguridad como EDR (del inglés, Endpoint Detection and Response) , XDR (evolución de EDR con funciones mejoradas) u otras herramientas SIEM (del inglés, Security Information and Event Management) permiten detectar este tipo de ataques, recopilarlos y emitir alarmas que permiten gestionar en tiempo real el ciberataque, minimizando el impacto del mismo. Puedes obtener más información sobre ataques de ransomware y su funcionamiento en el siguiente artículo.

En conclusión, el Hospital Clinic de Barcelona sufrió un ataque complejo de realizar, pues se necesita un conocimiento técnico muy especializado para lograr acceder a los sistemas de información de una infraestructura crítica, aunque el software empleado podría haber sido detectado si se hubiese contado con las medidas de seguridad óptimas. Desgraciadamente, las consecuencias del ciberataque son muy negativas ya que la probabilidad de que se exponga publicamente la información robada es muy elevada.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

César Collado
César Collado

Ingeniero técnico de telecomunicaciones y estudiante de máster en ciberseguridad, motivado por conocer las nuevas tecnologías y las vulnerabilidades que estas poseen. Disfruto realizando competiciones CTF en las que poner a prueba mis conocimientos en seguridad ofensiva.


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.