En las primeras semanas del año, cuando el coronavirus no había trascendido aún las fronteras de China, ya servía como señuelo para una nueva ola de ciberataques orquestados. Con la pandemia desencadenada y los sistemas sanitarios bajo presión, se han disparado. Es la prueba de que los atacantes saben dónde, cuándo y a quién dañar. Para ellos es una cuestión de oportunidad: el público se ha volcado en Internet para buscar información sobre la epidemia; los hospitales y el sistema sanitario se han convertido en infraestructura absolutamente críticas. Y son vulnerables: cuanto más valor haya en juego, mayor será el lucro potencial. El punto débil, como de costumbre, está en el factor humano.
Un informe elaborado por la rama de ciberseguridad del grupo industrial GMV pone el dedo en la llaga de la vulnerabilidad del sistema sanitario español. La primera alerta consignada fue un chantaje del que fue víctima el hospital de Torrejón de Ardoz el 22 de enero. Se trató de un ataque clásico de ransomware, que afectó la disponibilidad de algunos de sus sistemas de información. Afortunadamente, no existía por entonces una situación dramática como la que se viviría en marzo.
El incidente se resolvió, pero no fue el único ni el primero. En 2019, varios centros hospitalarios de Asturias, Castilla y León y de la Comunidad Valenciana lograron impedir que se produjeran ataques por ransomware.
No es la primera advertencia sobre la insuficiente atención a la seguridad de los sistemas de información. El phishing es, con diferencia, la modalidad más abundante que amenaza la estabilidad de los sistemas de información. GMV retoma unas cifras de TrendMicro según las cuales sería el 57% de los ataques conocidos (y aun así, deja caer que el porcentaje le parece corto). Sin remontarse más atrás, las campañas de phishing relacionadas con la Covid-19 desde enero han supuesto un 54,7% de las amenazas.
El sector sanitario ha sido víctima preferente de estos intentos. Con una particularidad: en su gran mayoría aprovechan la debilidad humana. “Nos enfrentamos a casos en los que los ciberdelincuentes se apoyan en cuatro elementos: la curiosidad, el miedo, la ambición y la necesidad […] Por lo tanto, el problema no está en los sistemas de información sino en las personas”, recalca Juan Ramón Gutiérrez, responsable de la unidad de inteligencia y forense de GMV.
Pese a lo que sugieren los episodios de ransomware, el objetivo principal no es el chantaje sino el robo de datos que tiene como vector al phishing distribuido mediante correos electrónicos y mensajería. Se trata de sustraer información sobre pacientes y empleados de los hospitales, lo que requiere introducirse en los servidores. Para llegar a las entrañas de los sistemas de información, suplantan el nombre de organizaciones con autoridad en el ámbito sanitario, como la OMS, el ministerio de Sanidad o las consejerías autonómicas.
Al principio de la epidemia, fueron detectados ataques cuyas vías eran dos códigos maliciosos identificados como Emotet y Trickbot, que parecen diseñados a la medida de esta crisis. También se han encontrado rastros de keyloggers como Agent Tesla, capaces de capturar las credenciales que escriben los usuarios. También han proliferado ataques DDoS con el fin de desactivar sistemas informáticos e impedir que presten servicio normal. Sin olvidar aplicaciones con nombres tan sugerentes como Coronavirus Tracker, que promete monitorizar la incidencia del virus pero en la que se camufla un ransomware.
Hay que tener presente que las descargas de aplicaciones en la categoría Salud en la PlayStore (Android) aumentó un 35% entre febrero y marzo y, que Google decidió eliminar nada menos que 280 de su tienda online.
En un informe reciente de carácter preventivo, Europol enumera los factores que explican esta ofensiva de la ciberdelincuencia: incremento de la demanda de ciertas mercancías de protección y productos farmacéuticos, descenso del tráfico transfronterizo de personas en Europa, confinamiento y auge del teletrabajo, con el consiguiente recurso a herramientas digitales no probadas y considerable aumento de la ansiedad en los ciudadanos por buscar información de fuentes no bien contrastadas. Muchas de las argucias empleadas en el fraude telefónico se han trasladado a las interacciones online. En muchos casos, el subterfugio puede ser la falsa condición de personal médico o encuestadores, con el fin de obtener información privada.
Algunas amenazas parecen dirigidas al usuario particular porque pueden acabar afectando al sistema sanitario, advierte GMV. “Los sistemas de información son entrópicos; el problema es que hay millones de máquinas interconectadas desde el minuto uno. Cuando a una red se conecta un equipo nuevo, algo ha cambiado y se abren oportunidades para atacarlo”, explica Juan Ramón Gutiérrez.
Porque, se explaya, “el objetivo no es necesariamente el sistema sanitario sino la oportunidad de fraude. Si ataco un sistema con ransaomware es porque sé que está en un momento crítico y sé que si pido un rescate la probabilidad de que lo paguen es alta”.
Como de costumbre, la autoría de los ataques no ha sido determinada, si bien no faltan hipótesis: delincuentes con fines de lucro, estados cuyo interés sea debilitar infraestructuras de otros. Las motivaciones pueden ir desde el simple vandalismo hasta el ciberespionaje sofisticado. La verdad es que la procedencia de las URL maliciosas no revela mucho: la mayoría tienen origen aparente en Estados Unidos, seguido de Alemania y Reino Unido, pero se sospecha que los autores residen en otras latitudes. “Esta argucia – según Gutiérrez – sólo prueba que los atacantes tienen dominios que alojan en la nube, abusando así de los proveedores de servicio”.
Como motivación añadida para apuntar al sistema sanitario, los atacantes saben que una brecha sanitaria puede propiciar beneficios debidos a una urgencia superior a la de otros sectores de actividad. En la llamada Deep Web, el historial clínico de un paciente puede alcanzar un precio de 80 dólares, y se ofrecen en lotes de miles. En él se pueden encontrar datos personales para suplantar la identidad y eventualmente valerse de ella en esquemas de fraude financiero.
La heterogeneidad de los sistemas de información instalados en los hospitales es motivo de discusión. Según el informe de GMV, “la obsolescencia de equipos en el parque tecnológico deja puertas abiertas a amenazas que explotan vulnerabilidades debidas a la falta de soporte”. Afirma Gutiérrez, en conversación con este blog, que “el diseño actual de las redes sanitarias no necesariamente está adaptado al nuevo escenario que se recomienda para activos críticos; equipos de diagnóstico digital y de monitorización de pacientes, sistemas de almacenamiento de datos e historiales, servicios de gestión de citas, agendas de quirófanos, etcétera son puertas abiertas a los cibercriminales”. Con más frecuencia de la deseable se trata de equipos antiguos, de múltiples fabricantes y con una dispersión de protocolos industriales en uso, así como conexiones remotas a equipos de telemedicina. “No es una cuestión de inversión, que también puede ocurrir, sino de mantenerse vigilantes en la actualización de esos sistemas”.
Un problema que la actual ola de teletrabajo ha suscitado en las empresas se calca en los sistemas sanitarios: la coexistencia en un mismo ámbito de redes de acceso con equipos particulares del personal “generan puntos de unión indirectos por los que se podría penetrar con su malware en los nodos de la red sanitaria donde va a permanecer latente en espera de la ocasión idónea”.
Añade Gutiérrez el siguiente comentario: “si todo personal sanitario tiene como principio fundamental la asepsia para proteger al paciente y a sí mismo, así como al material que utiliza, parece obvio seguir el mismo principio en los sistemas de información de una sociedad digitalizada, con más razón en un momento como el actual”. Como responsable del equipo de Inteligencia de Ciberamenazas, insiste en que hay que centrarse en la prevención y no sólo en la detección, reforzando medidas como VPN seguras o filtrado web y asegurando la gestión constante de parches y actualizaciones del software.
El informe de GMV recoge las recomendaciones del INCIBE, organismo público español, en el sentido de garantizar la seguridad de los pacientes, en la medida que todo lo que afecte a la disponibilidad de información dificulta la atención debida. Es decir, sería deseable que en los centros sanitarios hubiera un protocolo para los procesos una estrategia que ´protocolice` los procesos. Otra cosa es que una vez acabada la emergencia, que todo lo invade, la formación y concienciación del personal sea más que necesario.
[informe Pablo G. Bejerano]