El cibercrimen busca nuestros datos

Tras penetrar en el sistema y bloquear los accesos, los cibercriminales tuvieron a su merced durante más de 24 horas los servidores de este centro sanitario en el que trabajan 4.500 profesionales y da servicio a unas 540.000 personas. Lograron acceder a los datos de miles de pacientes, a sus expedientes clínicos. Un tesoro para esta lucrativa industria que roba información y la vende al mejor postor en la dark web (internet profunda), aquella parte de la red oculta a los motores de búsqueda convencionales.

Un día después del asalto al Clínic, los informáticos pudieron reactivar el acceso a una parte de los sistemas afectados y recuperar algo de la actividad asistencial prevista, aunque esto solo fuera el 10% de las consultas externas programadas. Fue uno de los mayores ciberataques contra una estructura crítica estatal, que logró paralizar el servicio de radiología, las pruebas endoscópicas, las extracciones o la atención de radioterapia oncológica.

Según la agencia catalana de ciberseguridad, fue una acción «sofisticada y compleja». Por un lado, los autores cerraron las puertas de acceso a cada nivel de archivo de información y, del otro, encriptaron alguno de estos archivos, de forma que no se pudiera acceder a ellos. Luego se supo que el ataque se consumó gracias a una contraseña vulnerable de un empleado. Una circunstancia que obligó a cambiar de prisa y corriendo unas 8.000 credenciales e instalar el sistema de doble autenticación (factor duplicado de seguridad) para poder acceder al sistema operativo del hospital.

Tres semanas después de este secuestro de datos apareció en escena el grupo criminal RansomHouse, creado en 2021, atribuyéndose la acción y reclamando cuatro millones de euros para devolver los 4,5 terabytes (4,5 millones de megabytes) extraídos. Como la administración se negó a pagar, los autores publicaron el 30 de marzo siguiente una primera parte de su contenido en la dark web. La unidad de delitos tecnológicos de los Mossos logró cerrar este acceso, pero en respuesta los autores amenazaron con filtrar información de pacientes «con enfermedades infecciosas». El caso sigue abierto.

En paralelo, otro ciberataque considerado «crítico» por los analistas tuvo lugar dos meses después, el 11 de mayo. El grupo ruso LockBit, uno de los más potentes del mundo, responsable de casi un tercio de los 'ransomware' a escala global, accedió al sistema de la compañía telefónica Euskaltel y amenazó con publicar los tres terabytes de información que habían robado de su base de datos, pero la operadora de MásMóvil no cedió. Como respuesta, los piratas informáticos difundieron una parte de los ficheros hace dos semanas en la dark web. El primer paso dentro de su estrategia de chantaje.

Esta plaga de extorsiones tuvo continuidad en 2022 con el asalto a los equipos de la multinacional Iberdrola, que dejó expuestos en marzo 1,3 millones de datos de clientes, y dos meses después entraron en el sistema de la entidad bancaria Laboral Kutxa. Pero esto es solo una pequeña muestra de lo que trasciende, ya que las empresas no están obligadas a notificar estos incidentes salvo cuando hayan accedido a datos personales o se trate de operadores esenciales y proveedores de servicios digitales.

«La mayor parte de los afectados pagan aunque no lo digan. Solo tienes que ir a los sitios web de estos grupos y observar cómo desaparecen sus publicaciones antes de la fecha límite para cumplir con su amenaza de una filtración masiva de datos robados. Son chantajistas profesionales amparados en el mundo ciber», explica Jorge Louzao, experto en ciberseguridad.

El Instituto Nacional de Ciberseguridad de España (Incibe) gestionó el pasado año 118.820 incidentes, casi un 9% más que en 2021. Se ocasionaron por una filtración de datos considerados «sensibles, protegidos o confidenciales», que son robados por una persona no autorizada, o debido a ciertas vulnerabilidades de los sistemas tecnológicos afectados. Los casos más frecuentes fueron los fraudes online, con 16.902 incidentes notificados por phishing (correo electrónico que simula ser una entidad legítima con el objetivo de robar información privada, realizar un cargo económico o infectar el dispositivo); 14.000 por 'malware' (software malicioso que lleva a cabo acciones como extracción de datos u otro tipo de alteración de un sistema); y 448 incidentes por 'ransomware' (secuestro de datos aprovechando una brecha de seguridad), como los sufridos por Euskaltel o el Hospital Clínic.

Según el Incibe, organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital, también se vieron afectados 546 operadores críticos y esenciales a través de los APTs: las amenazas capaces de explotar vulnerabilidades en los sistemas y sabotear infraestructuras críticas. Los sectores con mayor número de ataques fueron los seguros y la hostelería, y en buena medida por el ingente volumen de datos que manejan.

Las empresas, no obstante, no están siempre bien preparadas y los delincuentes son cada vez más sofisticados. Antes se limitaban a encriptar los ficheros para pedir un rescate (móvil económico), pero ahora amenazan además con publicar los datos o incluso dejar a la empresa afectada inoperativa para exhibir sus deficiencias. «En el caso del Hospital Clínic buscaron vulnerabilidades conocidas o desconocidas por desarrolladores y empresas para robar información. Unos archivos de datos que se liberan gratis en caso de que la víctima no pague», asegura Louzao.

En un encuentro hace dos meses con periodistas, Carlos Abad, jefe de Área de Sistemas de Alerta y Respuesta a Incidentes del CCN-CERT -organismo perteneciente al Centro Nacional de Inteligencia (CNI)-, expuso la relevancia que ha tenido la pandemia y la transformación digital en la actividad del cibercrimen. «El mundo de la Covid-19 cambió nuestra exposición a las redes. El irnos corriendo a casa, al teletrabajo, provocó una amenaza creciente. El mayor uso de la nube, que permite almacenar, administrar y acceder a datos a través de plataformas digitales sin la necesidad de contar con equipos y servidores físicos, ha abierto vías de entrada que nos preocupan. Los grandes ataques de 'ramsonware', por ejemplo, beben por accesos pasados. Ataques continuados por robos de credenciales que tuvieron lugar hace varios meses», señala Abad.

El responsable del departamento encargado de supervisar la ciberseguridad estatal, prevenir el espionaje industrial y dar apoyo a empresas y organismos estratégicos destaca también la transformación de la actividad criminal. «En el mercado negro se venden paquetes de credenciales de entes o empresas atacadas por varios miles de dólares. Hay pujas para comprar y explotar esta información», revela Abad, cuyos equipos cuentan con antenas en la internet profunda para tratar de anticiparse a los movimientos de los 'malos'.

«Cuando el crimen organizado ve un filón lo va a explotar al máximo. Trabajan con la impunidad que les proporcionan las redes, los servidores en el extranjero y, además, las penas son limitadas. Es una cuestión de coste-beneficio. Esto es lo que ocurre ahora con el boom de los ciberchantajes», añade el experto.

La previsión es que los ataques a la nube será el siguiente campo de batalla, aunque Abad admite que en la labor de ciberinteligencia «es importante separar el grano de la paja, porque hay mucho ruido e intoxicación con algunos ataques», resalta. Su grupo trabaja centrado en la prevención y alerta temprana de incidentes y dar una respuesta rápida si se consuman. «Si hay un nivel grande de amenaza (caso de los ataques sufridos por Telefónica en 2017 y 2022 o el de la base de datos de la Administración de Justicia en noviembre pasado) desplegamos nuestros equipos sobre el terreno hasta que se restauren los servicios. La investigación puede llevar una semana, pero para recuperar la información pueden pasar meses», reconoce Abad.

En la actualidad existen unos 250 organismos y empresas estratégicas con sensores de riesgos de ataque. Unos escudos protectores para la guerra híbrida que se libra en el mundo ciber. «En este momento el dato es el centro, la información es oro y la transformación digital es imparable. En esta ecuación son imprescindible tres niveles de ciberseguridad: en el perímetro del sistema, dentro de la red o proteger el dato en sí mismo», concluye.