Informes, incidents mèdics i números de compte: la nova filtració dels ciberdelinqüents del Clínic

El grup RansomHouse ha anunciat la publicació del "paquet de dades complet" robat a l'hospital

Una sanitària treballant amb paper i bolígraf, aquest matí, al Clínic

BarcelonaEl ciberatac que el grup RansomHouse va perpetrar a principis de març contra l'Hospital Clínic de Barcelona encara arrossega conseqüències: els ciberdelinqüents han anunciat aquest dimarts a la tarda la publicació del "paquet de dades complet" robat al centre mèdic, que pot arribar als 4,5 terabytes. L'ARA ha pogut comprovar que en aquesta filtració s'inclou informació de pacients, treballadors, estudis mèdics i del funcionament del centre. Tant l'Hospital Clínic com l'Agència de Ciberseguretat de Catalunya en tenen constància i, segons ha pogut saber aquest diari, a l'Agència s'han fet aquesta tarda diverses reunions per valorar l'abast de la filtració.

La nova filtració inclou tota mena de dades personals, presumptament de treballadors, com noms i cognoms, números i fotografies de DNI, currículums, llistes de contrasenyes de diferents serveis en línia, números de comptes bancaris i fins i tot firmes escanejades. També hi consten documents amb dades de pacients –sovint identificats amb nom i cognoms– com ara informes de seguiment d'estudis mèdics de fàrmacs per a diferents tipus de càncer i registres de donacions d'òrgans i teixits i d'analítiques de mostres i biòpsies. A més, hi ha documents de recerca i treball, com esborranys d'articles científics, protocols mèdics i fins i tot un registre d'"incidents" mèdics. Aquest document, amb data del 2009, descriu situacions com el trencament de dents durant intubacions, morts de pacients per hemorràgies i aturades cardiorespiratòries enmig d'una operació i fins i tot un error de medicació durant un part que hauria causat una aturada respiratòria a l'afectada, tot i que se n'hauria sortit sense seqüeles. 

De moment, tant l'hospital com l'Agència apunten que encara és aviat per saber si RansomHouse ha publicat totes les dades que tenia o només una part, per continuar el xantatge i intentar cobrar el rescat. Fonts de l'Agència afegeixen que aquest era un escenari "previst", perquè tenien clar que no pagarien el rescat de 4,5 milions de dòlars que reclamaven els ciberdelinqüents. Ara, admeten que un cop publicades les dades se n'ha perdut "el control". L'Autoritat Catalana de Protecció de Dades ja va expedientar el Clínic per la primera filtració d'entre 3 i 4 gigues de dades robades, que incloïa informació mèdica i personal de pacients i treballadors. Però la filtració actual és molt més gran i encara se n'han de determinar l'abast i les conseqüències per als afectats.

Captura de pantalla de la pàgina de RansomHouse a la 'dark web'.

Contraatac policial

Davant la primera filtració de dades robades al Clínic els Mossos d'Esquadra van respondre amb una tàctica més pròpia de hackers que de policies: un ciberatac de denegació de servei contra la pàgina a la dark web on RansomHouse havia publicat la informació. I d'entrada, se'n van sortir, la van fer caure. Els ciberdelinqüents, però, van reaccionar a aquell contraatac burlant-se de la "policia espanyola". "Si no fos pel seu atac DDoS, no hauríem canviat a una nova solució per a la distribució d'arxius, moltes vegades més ràpida que Tor", van assegurar. Tot i així, la nova filtració, anunciada a través d'un canal de missatgeria instantània, s'ha tornat a publicar en una pàgina a la xarxa Tor (acrònim de The Onion Router), pensada per permetre la navegació anònima i que fan servir, per exemple, els que busquen evitar la censura en règims autoritaris que monitoritzen internet.

Després del contraatac policial els ciberdelinqüents també van afirmar que aviat es publicaria "un nou paquet" amb "dades de pacients amb malalties infeccioses" i de "l'ús de fàrmacs experimentals amb gent gran". L'Hospital Clínic va reconèixer en un comunicat que el 16 d'abril s'havia tornat a publicar una filtració amb "dades identificatives i de salut de pacients vinculades a tractament assistencial, així com d’investigació clínica" i "dades personals de treballadors". Entre la informació difosa al paquet publicat aquest dimarts, l'ARA ha localitzat documents de seguiment d'estudis de fàrmacs per al càncer com ara nivolumab i durvalumab.

En el ciberatac de tipus ransomware que va patir el Clínic el dia 5 de març, a més de robar les dades, es van xifrar els sistemes informàtics de l'hospital, deixant-los dades inaccessibles, fet que va obligar a suspendre intervencions mèdiques i radioteràpies programades. Els pacients que requerien atenció urgent es derivaven a altres centres. El dia 30 d'aquell mateix mes el director mèdic del Clínic, Antoni Castells, va explicar que l'hospital ja funcionava amb una "normalitat pràcticament absoluta", i que treballaven per recuperar els retards causats pel ciberatac.

stats