Hackear un hospital: por qué los piratas buscan tu historial médico

Según un informe de la Agencia Europea de Ciberseguridad los ataques contra el sector sanitario están creciendo de forma exponencial: si en 2021 hubo 7 incidentes en total, en un solo trimestre de 2023 ya hubo también siete. En toda Europa hubo, en los dos últimos años, 215 ataques contra hospitales, centros médicos o aseguradoras. El 8% de toda la ciberdelincuencia de Europa afecta al sector sanitario.
En Hoy por Hoy nos hemos querido preguntar ¿por qué a los piratas informáticos les interesan tanto las infraestructuras sanitarias?

La respuesta, como explica Francisco Valencia, CEO de la empresa de ciberseguridad Secure&IT, está en la urgencia por recuperar los datos. “Imagínate que atacan a un hospital que tiene cien personas en la UCI y de repente no sabes ni cómo se llaman, ni qué hacen allí, ni cómo tienes que tratarles. Esas vidas están corriendo peligro”. Por eso muchas empresas entran en pánico y optan por pagar los rescates que piden los piratas, a pesar de que eso no garantice ni recuperar los datos, ni que no se queden con toda la información, aunque devuelvan el acceso a los sistemas.

Los ciberpiratas cuentan, lamentablemente, con un alto porcentaje de éxito: según un informe de la empresa de ciberseguridad Sophos, los ciberdelincuentes logran cifrar y, por tanto, bloquear, los datos en casi el 75% de los ataques. La tasa de aciertos en 2023 es la más alta de cifrado en los últimos años. En casi el 40% de los casos los datos no solo fueron cifrados, sino también robados. Suele tratarse de ataques tipo ransomware: secuestran los datos y piden rescate por ellos.

Javier Ruiz Martínez ha descrito algún caso concreto, como el de una empresa que gestiona recetas en Estados Unidos, cuyos sistemas fueron totalmente anulados hace sólo unos días. A pesar de que pagaron un rescate de 22 millones dólares, no les devolvieron el control de sus bases de datos. En España el caso más emblemático ha sido el del hospital Clínic de Barcelona en 2023: miles de datos sanitarios de personas anónimas a disposición de quien quisiera comprarlos o mirarlos. Un historial médico se puede vender entre 30 y 1000 dólares en la dark web, “ya no solo porque muestra las vulnerabilidades sanitarias de la población en general, sino porque afecte a personas de alto interés”, como explica Manuel Gazapo, director de Universae.

¿Cuál podría ser el objetivo de los que compran estos datos? Porque es evidente que si algo se pone a la venta es porque hay alguien con interés en comprarlo. Puede ser la extorsión de personas concretas, sobre todo si son “de alto interés” (líderes políticos, empresariales, famosos…), o incluirlos en listas de correos de medicamentos falsos, de homeopatía o de tratamientos milagro que nos llegan, precisamente, cuando saben que tenemos un problema de salud concreto. Además, los datos sanitarios son clave para aseguradoras y empleadores: nuestra información sanitaria puede cambiar nuestro perfil como empleado o como asegurado.

Nuño Domínguez comenta que posiblemente esto suceda más en Estados Unidos que en Europa, “por el componente privado tan fuerte que tiene allí la sanidad. Pero hay otra derivada”, añade, “y es el impacto que le haces al sistema sanitario en sí, no solo a las personas: en el Clínic se paralizaron las consultas y hay casos en los que ha llegado a haber muertes en los hospitales que han podido ser achacadas a estos ataques. Imaginemos que un ataque de este tipo se da en plena pandemia”. Puede perderse el historial clínico de una persona, y estar ingresado y que el médico se encuentre la información encriptada y no tenga acceso a ella.

Como apunta Jaime García Cantero, una vez que una información está en la web, es muy difícil hacerla desaparecer. Por eso es muy probable que los datos del Cínic sigan en la dark web. “Es verdad que los datos valen más cuanto más actualizados están, pero estos datos médicos tienen una vida útil muy larga para quien quiera hacer el mal con todos ellos. Lo interesante aquí, y en esto el caso del Clínic es paradigmático, es saber cuándo entraron dentro de los sistemas.” Es muy difícil conocer el límite de lo afectado y “volver a un punto limpio”, un momento en el pasado en el que estar seguro de que no había nadie dentro de los sistemas.

¿Quiénes son los “sospechosos habituales” de estos hackeos? En el caso del hackeo sufrido por hace unas semanas por una empresa sevillana que hace reconocimientos médicos de policías y militares, la mirada apunta a hackers de países poco afines, como Rusia, siempre muy relacionada con la piratería informática. Según Jaime García Cantero “los rusos son una parte fundamental del ecosistema de los ‘malos’ en todo esto. Pero cuando pensamos en los rusos no pensemos solo en el gobierno ruso. Tanto el gobierno como el ejército ruso llevan años colaborando con distintas organizaciones criminales, algunas con base en Rusia, otras no, con la idea de desestabilizar. ¿Pueden estar los rusos vinculados a este tipo de cosas? Sí, directa o indirectamente, pero cada vez hay más organizaciones en todo el mundo que se dedican a este tipo de cosas. Esta en concreto, que es un espionaje, tiene pinta de rusa. Pero pensemos que el 99% de los ataques no van de espionaje. Van de ganar dinero.”

Hay, en efecto, muchísimo dinero en juego. El dato es contundente: la ciberdelincuencia mueve ahora mismo el doble de dinero que el tráfico de armas, la trata de personas y drogas… ¡juntos! La explicación, claro, es que toda la delincuencia se ha trasladado a Internet: las drogas, las armas y las personas se venden por internet. Por eso la gran mayoría de la delincuencia hoy es ciberdelincuencia. Y de todo ese crimen, un 8% afecta a nuestros hospitales, centros médicos y aseguradoras.