https://www.lavanguardia.com/vida/20230310/8814931/ransom-house-exige-4-5-millones-euros-clinic-ciberataque.html
Los autores del ciberataque en el Hospital Clínic del pasado domingo, el grupo de cibercriminales RansomHouse, han exigido a la Generalitat un rescate de 4,5 millones de dólares —4,25 millones de euros— para liberar y no publicar los datos sustraídos. Los responsables del Govern han reiterado este viernes de forma taxativa que no tienen la intención de acceder a las exigencias de los hackers, por lo que, según los Mossos d'Esquadra, hay una "probabilidad elevada" de publicación de datos de pacientes.
La cifra la han confirmado en rueda de prensa conjunta el director médico del hospital Clínic, Antoni Castells; el director de la Agencia de Ciberseguridad de Catalunya, Tomàs Roy; el responsable de investigación criminal de los Mossos, Ramón Chacón; y el secretario de Telecomunicaciones y Transformación Digital de la Generalitat, Sergi Marcén.
Los ciberdelincuentes se pusieron en contacto con la Generalitat a través de mensajes, pero el secretario de Telecomunicaciones ha asegurado que no se ha entablado negociación. Marcén ha estimado que RansomHouse ha logrado sustraer cuatro terabytes de datos —un billón de bytes—, si bien todavía se desconoce específicamente de qué información se trata.
No hay duda de la sustracción. Los atacantes han enviado como prueba de ello una imagen del árbol principal del sistema del hospital en el que aparecen todas las carpetas del servidor. Según Chacón, existe un "riesgo muy alto" de que los datos sean publicados. Los Mossos, que están patrullando en la web profunda y la web oscura, intentarán evitarlo.
"Sabemos sus modus operandi y dónde es probable que puedan publicarlo. Se trata de bloquear los servidores o la web, o de pedir a Instagram que elimine la información si es el caso", ha explicado Chacón.
Hasta el momento, todos los pasos de los ciberdelincuentes han seguido el patrón habitual de un ciberataque de doble extorsión. Primero se introduce un código malicioso en el sistema y se bloquea su utilización. Acto seguido -cuatro días después en este caso- se exige dinero a cambio de un desencriptado. Si la extorsión no surte efecto, se sustraen datos y se amenaza con publicarlos o venderlos.
"El objetivo es el lucro, descartamos otras tipologías delictivas", ha afirmado Chacón. En Catalunya se produjeron el pasado año 600 ataques de ransomware -la mayor parte, pequeñas ciberestafas-, que representan solo el 1% del cibercrimen. Según el experto policial, la investigación de este tipo de actos es complicada por el hecho de que se producen desde el extranjero.
Las posibilidades de atrapar a los delincuentes son escasas, pero los Mossos han puesto en ello todo su empeño. "Si tenemos que ir a la otra punta de mundo a buscar a estos señores, lo haremos", afirma Chacón. "Los complicado -admite- es que ellos van saltando de país en país cuando son localizados".
Aunque los hackers consigan escabullirse, lo harán con las manos vacías. Desde el primer momento la Generalitat ha asegurado que no pagará un rescate. "Nunca, nunca, nunca hay que pagar", reitera chacón. "Si pagamos, la capacidad económica de que estamos dotando a estos grupos es muy elevada. Con 4,5 millones podrían hacer muchísimos más ataques y más sofisticados. Sería una bola de nieve imparable. La única manera de detenerla es que no pague nadie. Si saben que nunca cobran, no lo harán".
Mientras tanto, cinco días después el hospital está resistiendo el ataque mejor de lo esperado por la dirección médica, ha afirmado Antoni Castells, si bien todo el trabajo sigue haciéndose de forma manual. El centro espera recobrar hoy las contraseñas de todos los profesionales, y recuperar el acceso universal al SAP (el software de gestión) el lunes o el martes para empezar a trabajar con normalidad.
Se han levantado más de 200 ordenadores de contingencia que han permitido acceder al historial clínico de los pacientes. El 15% de los sistemas digitales han quedado restablecidos. Según Sergi Marcén, no ha quedado comprometida la base de datos estructural del Departament de Salut, que contiene la historia clínica compartida.
La mejora de la actividad del Clínic es sustancial. "En cuatro días hemos recuperado el 90% de la actividad quirúrgica compleja, el 40% de la menos compleja, el 70% de la actividad de consultas externas. También hemos recuperado las urgencias por el código ictus y el código infarto", ha informado Castells. Durante la crisis se han mantenido las urgencias y la hospitalización en las tres sedes del Clínic: Villarroel, Plató y Maternitat.
