Los hackers tienen muchos propósitos: robar datos electorales; menoscabar la democracia; cibersecuestrar entidades públicas y privadas; causar daño a la población y provocar caos, confusión, desorden…
Es domingo al mediodía y el Hospital Clínic sufre una caída en sus sistemas. Suenan todas las alarmas mientras los técnicos intentan recuperar la situación, que rompe con la rutina acostumbrada: un ciberataque ransomware ha sido perpetrado contra uno de los hospitales más importantes de España.
No es una agresión cualquiera. Las fuerzas de seguridad del Estado español especializadas en ciberataques y cibervigilancia entran en acción al verificarse que detrás del incidente que mantiene paralizado al complejo sanitario se encuentra el grupo criminal RansomHouse.
Son un poder delincuencial relevante: actúan en la oscuridad, están deslocalizados y la ciberpolicía no lo tiene fácil para ubicarlos; lo único que se informa a la prensa es que operan desde el extranjero y funcionan con un mismo modus operandi para cibersecuestrar la red de la entidad vulnerada a cambio de un rescate económico, solo así podrá ser liberada y recuperarse el control.
Al cierre de esta edición el Hospital Clínico Provincial de Barcelona, conocido en catalán como Clínic, seguía sin volver a la normalidad mientras su director, Antoni Castells, se aferraba a no pagar ningún tipo de rescate.
El ransomware es una forma de malware que cifra los archivos de una víctima y el atacante exige un rescate a cambio de restaurar el acceso a los datos mediante el pago. “A los usuarios se les muestran instrucciones sobre cómo pagar por su ‘liberación’ para obtener la clave de descifrado; los rescates pueden ir desde unos cientos de dólares hasta miles; y siempre pagados en Bitcoin”.
Al Clínic le han provocado un enorme problema, siendo una infraestructura sanitaria vital. Nada más en las primeras 48 horas del secuestro virtual el nosocomio paralizó más de 150 cirugías y canceló más de tres mil consultas; además, dejó de atender todas las urgencias.
Con todo automatizado, hubo que revisar cada una y manualmente las prescripciones médicas de sus pacientes ingresados. La mayor preocupación de la directiva se relaciona con las investigaciones contra el cáncer y las enfermedades raras que lleva a cabo este centro especializado, reconocido por sus numerosos trasplantes y vinculado con el organismo Transplant Service Foundation.
La hipótesis es que este ataque se perpetró para robar la información de esas numerosas y valiosas investigaciones contra el cáncer y otras enfermedades raras.
Ni los expertos de la Agencia de Ciberseguridad de Cataluña ni los Mossos d’Esquadra han logrado resolver lo más pronto posible el problema, lo que revela la vulnerabilidad de las infraestructuras y los perjuicios que pueden provocar estos poderes que operan desde las sombras del internet.
Guerra híbrida
Tomás Roy, director de la Agencia de Ciberseguridad de Cataluña, declaró al respecto que se trata de un ataque “complejo” y que, contrario de lo que pasa en estos casos, no sigue el mismo patrón porque incluye técnicas nuevas y más sofisticadas.
De esta forma, se trata del primer gran ataque ransomware contra un hospital de envergadura en España y ha logrado su propósito, considerando que según fuentes consultadas expertas en ciberseguridad en el país ibérico al menos al día se intentan una decena de ataques contra infraestructuras vitales por parte de “terroristas extranjeros” que actúan en internet.
Hace unos meses sucedió en Estados Unidos un ataque con ransomware contra el proveedor Community Health Systems (CHS), que administra datos de pacientes en una red de 80 hospitales distribuidos por la geografía norteamericana. En esa ocasión el grupo atacante robó datos de un millón de pacientes hospitalizados.
Esta forma delincuencial cibernética tiene muchos propósitos: robar datos electorales; intervenir en los resultados de las elecciones en menoscabo de la democracia y de la confianza hacia las instituciones; cibersecuestrar entidades públicas y privadas relevantes para pedir un rescate a cambio y obtener un beneficio económico; actuar deliberadamente como un actor terrorista para causar un daño en la población y provocar caos, confusión y desorden…
Hay toda una guerra híbrida extendiéndose por diversos países, en distintos ámbitos, y no necesariamente tiene bombas, ni misiles o un ejército invasor. De lo que trata esta nueva forma de alterar y perturbar sobre todo la estabilidad de otros países es de generar un caos mediante atentados cibernéticos; provocar terrorismo; utilizar a las masivas corrientes de migración ilegal como arma de guerra; beneficiarse de las redes sociales para desinformar, causar confusión y verter un discurso de odio y a favor de la ruptura social.
Una guerra híbrida que también se nutre de una guerra biológica por un virus desconocido: el Covid-19.
Es el caso que a tres años de distancia de declarada la pandemia de SARS-CoV-2 sigue la interrogante de cómo surgió el patógeno; tampoco en el cibercrimen es sencillo detectar a los culpables, porque casi siempre están deslocalizados. Son un poder en la opacidad, bastante pernicioso e inquietante.
De acuerdo con Cybersecurity Ventures el cibercrimen va en auge: para 2023 podría tener un impacto cercano a los ocho billones de dólares en el mundo y el pronóstico para 2025 es de 10.5 billones.
Demanda de seguridad
En la última reunión entre Joe Biden y Vladimir Putin, en Ginebra en 2021, el mandatario norteamericano le espetó al líder ruso en la cara su disposición a responder con todas sus capacidades a los ciberataques recibidos de forma acuciante contra EU y que pretenden vulnerar oleoductos y hasta los sistemas de sanitización del agua.
Cabe recordar que en mayo de 2021 quedó secuestrado informáticamente el oleoducto de la empresa Colonial Pipeline, dejando sin combustible a 17 estados de la Unión Americana y provocando el caos.
Dos meses antes, en otro ataque cibernético, una planta de tratamiento de agua en Oldsmar, Florida, detectó a tiempo que “alguien” manipulaba los niveles químicos de hidróxido de sodio para envenenar el agua de la ciudad.
Biden se lo hizo saber a Putin en Parc de La Grange y le lanzó el siguiente cuestionamiento: “Te pregunto: ¿ te gustaría que te estuvieran atacando estos ciberdelincuentes, por ejemplo, a tus refinerías? ¿Te gustaría?”
Agregó que su país está dispuesto a responder a cada ciberataque con sus máximas capacidades porque “hay que parar a estos criminales del ransomware”. Y, de hecho, invitó a Putin a ponerles límite juntos “porque es inaceptable”. Además, le remarcó al líder ruso que existen 16 puntos fundamentales en la infraestructura estadunidense que deben quedar fuera de cualquier ataque, porque si no, responderán.
Para enero del año pasado el Servicio de Seguridad Federal de Rusia dio cuenta de la detención de integrantes del grupo REvil. A petición del FBI fue posible aprehender a 14 miembros distribuidos en varias partes de la geografía rusa. La Casa Blanca señaló que REvil estaba detrás del ataque contra la empresa de oleoductos Colonial Pipeline.
¿Cómo los encontraron? De acuerdo con la justicia rusa, siguiendo la ruta del dinero recibido por sus numerosos cibersecuestros, aunque todas eran operaciones con Blockchain.
Hay otro grupo también vinculado con Rusia, como es Evil Corp y que está en la lista de los más buscados por EU en el renglón del cibercrimen; pero la justicia norteamericana y los servicios de investigación requieren de la cooperación de las autoridades rusas. Algo que no tienen.
Ya el FBI y la Interpol lograron detener y desmantelar a otros grupos de hackers localizados en Ucrania, Corea del Sur, Rumania y Kuwait; pero no ha sido posible hacer lo mismo en el caso de Evil Corp porque está dentro de Rusia.
Recientemente el FBI y la Policía Europea, junto con las autoridades alemanas, lograron aprehender en Dusseldorf a una célula de once personas de un grupo supuestamente vinculado con Evil Corp; se les acusa de atacar el Servicio Nacional de Salud del Reino Unido y el Hospital Universitario de Dusseldorf a través de la técnica de DoppelPaymer.
“Con el DoppelPaymer han sido publicados datos robados de unas 200 empresas en varias partes del mundo, entre las que se incluyen el sector de defensa de la Unión Americana”, de acuerdo con Brett Callow, analista de la empresa de ciberseguridad Emsisosft.
El informe Ransomware en un contexto global, elaborado por VirusTotal, indica que en 2020 se detectaron más de 130 variantes distintas de ransomware, la mayoría vinculadas con los ataques efectuados en dicho año contra 14 de los 16 sectores de infraestructura crítica de EU. De hecho, saltaron a tal nivel las alarmas por la vulneración de la seguridad nacional norteamericana, que esos ciberataques masivos propiciaron la motivación de Biden para reunirse con Putin en Ginebra en junio de 2021.
Casi siempre que puede, el presidente norteamericano recuerda en sus discursos la amenaza cibernética, a la que considera una “guerra de disparos” que daña a empresas de todos los tamaños bajo la intención de provocar una emergencia en la seguridad nacional.
Para tensar más la situación, la invasión de las tropas rusas a Ucrania desde el 24 de febrero del año pasado no ha hecho más que incrementar en 800% los ciberataques contra empresas públicas, privadas y gobiernos de diversos países, fundamentalmente aliados de Kiev.
Sin piedad
El ransomware puede afectar a cualquier individuo o industria. ¿Cuánto dinero se puede perder? Precisamente la empresa IBM hizo alusión a su propio caso: en el costo de una violación de datos llegó a pagar 812 mil 360 dólares a una red de cibercriminales, pero el impacto en pérdidas económicas internas fue mucho mayor.
Hay otros casos de corporativos a merced de los hackers. Por ejemplo, empresas como Kaseya, especializada en software; Sinclair Broadcast Group, otro proveedor de software; también Acer, especializada en procesadores; y hasta grandes suministradores de carne como JBS EU. Y últimamente los servicios de salud públicos y la red del sistema educativo son otros objetivos.
Trend Micro, experta en seguridad en la nube, estima que habrá más extorsión de datos en 2023, con nuevos ataques que involucran ransomware y será una actividad delincuencial cada vez más generalizada.
Chuk Brooks, experto en ciberseguridad, afirma que durante los últimos doce meses 34.5% de los ejecutivos encuestados por Deloitte informó que los datos contables y financieros de sus organizaciones fueron violados por ciberdelincuentes.
Dentro de ese grupo, 22% experimentó al menos un evento cibernético de este tipo y 12.5% padeció más de uno. Casi la mitad (48.8%) de los ejecutivos espera que el número y el tamaño de los acosos cibernéticos dirigidos a los datos contables y financieros de sus organizaciones aumenten el próximo año.
“Los ciberdelincuentes ya utilizan herramientas de Inteligencia Artificial (IA) y aprendizaje automático para atacar y explorar las redes de las víctimas. Las pequeñas empresas, las organizaciones y especialmente las instituciones de atención médica que no pueden permitirse inversiones significativas en tecnología de ciberseguridad emergente defensiva son las más vulnerables”, de acuerdo con Brooks.
Los efectos financieros del ransomware también se hicieron particularmente patentes en los últimos años. Los ataques afectan a las cadenas de suministro, a las personas, a las empresas, a los gobiernos; y en cierta medida generan un impacto social y no hay, a la fecha, un gran convenio internacional para frenar la proliferación de la ciberdelincuencia.