Els Mossos preparen un ciberatac contra els pirates de l'Hospital Clínic
Els Mossos d'Esquadra intentaran un ciberatac contra el grup RansomHouse per frenar la filtració
BarcelonaEls ciberdelinqüents que van perpetrar l'atac que va noquejar el sistema informàtic de l'Hospital Clínic de Barcelona, el grup RansomHouse, han començat a publicar aquesta matinada la informació que van robar, segons ha admès el director mèdic del Clínic, Antoni Castells, en una roda de premsa. "S'han publicat dades amb un pes d'entre 3 i 4 gigabytes", ha explicat aquest migdia. L'ARA ha confirmat que entre la informació filtrada hi ha DNIs escanejats, noms, telèfons, adreces, números de comptes bancaris, contractes laborals i analítiques de tota mena, com ara electrocardiogrames, identificades amb el nom i els cognoms dels pacients.
Els ciberdelinqüents de RansomHouse han filtrat la informació mitjançant la seva pàgina a la dark web, que han difós per un canal de missatgeria instantània. L'hospital calcula que és una mil·lèsima part de les dades robades, que segons els atacants arriben als 4,5 terabytes (4.500 gigues). Ara els Mossos d'Esquadra preparen una estratègia poc convencional i pròpia de hackers que no havien fet servir mai abans per evitar que les dades continuïn estant disponibles: un ciberatac per fer caure la pàgina des d'on dels pirates informàtics distribueixen les dades robades a l'hospital. Ho ha explicat el cap de la comissaria d'Investigació Criminal dels Mossos d'Esquadra, Ramon Chacón, que també ha dit que mitjançant peticions internacionals ja havien aconseguit bloquejar dos servidors a l'estranger que contenien informació robada al Clínic.
Chacón ha reconegut que actuar contra una pàgina a la dark web és més complicat: "S'ha publicat aquesta informació a la xarxa Tor, on la informació no està indexada i no se'n pot localitzar l'origen; no podem saber, ni nosaltres ni ningú, exactament on està allotjada, i no la podem eliminar". Per això intentaran fer un atac distribuït de denegació de servei (DDoS), que no els permetria eliminar la informació, però sí impedir l'accés a la web on es difon, i evitar que s'hi publiquin més arxius robats al Clínic. "Les dades d'avui són una fe de vida perquè tothom tingui coneixement que els ciberatacants estan en possessió d'aquesta informació", ha dit Castells. El director de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, ha afirmat que RansomHouse "està seguint el modus operandi habitual". Preveu que "en un temps de potser dues setmanes es tornin a publicar dades" i que d'aquí un o dos mesos, com que l'hospital no pagarà, RansomHouse difongui a la dark web tota la informació robada al centre mèdic.
Paradoxalment, el Clínic i tres hospitals catalans més han estat víctimes fa poc d'atacs DDoS per part de ciberdelinqüents pro Putin, tal com va avançar l'ARA. Els ciberdelinqüents que fan atacs d'aquesta mena utilitzen xarxes d'ordinadors (sovint d'usuaris convencionals, infectats amb malware sense que ho sàpiguen) que demanen, a la vegada i de manera coordinada, informació d'un servidor fins que superen la seva capacitat de lliurar-la. Així, busquen fer caure i bloquejar pàgines web i recursos que depenen de la xarxa. Chacón no ha donat detalls tècnics de com els Mossos pensen fer un atac d'aquesta mena contra la pàgina de RansomHouse.
Normalitat a l'hospital
En el ciberatac de tipus ransomware que va patir el Clínic, a més de robar les dades, es van xifrar els sistemes informàtics de l'hospital, deixant-los dades inaccessibles, fet que va obligar a suspendre intervencions mèdiques i radioteràpies programades. Després, els ciberdelinqüents van reclamar 4,5 milions de dòlars a la direcció del centre a canvi d'alliberar la informació. L'hospital ja ha reiterat diverses vegades que no pagarà l'extorsió i, tot i això, Castells ha explicat avui que en aquests moments ja funciona amb una "normalitat pràcticament absoluta", i que fins i tot preveuen recuperar els retards causats pel ciberatac abans de Setmana Santa. Però els ciberdelinqüents que es dediquen a fer ciberatacs de ransomware practiquen la doble extorsió: exigeixen diners per alliberar els sistemes que han inutilitzat i per no difondre les dades que han robat.
Amb cinisme, a la mateixa pàgina on els autors del ciberatac ofereixen l'enllaç per descarregar la informació, "recomanen" a la direcció del centre que contacti amb ells "per prevenir" que les dades confidencials i de recerca del centre acabin "filtrades o venudes a un tercer". I, a més, continuen buscant com treure'n profit per altres bandes. L'expert en seguretat informàtica José Nicolás Castellano ha comprovat que els membres de RansomHouse ofereixen a tercers la informació robada a l'hospital a canvi de només 5.000 dòlars.
El director mèdic del Clínic ha valorat positivament la feina feta pel centre per recuperar-se del ciberatac. "Hem anat aixecant cadascun dels 800 servidors" afectats, ha explicat, i ha afegit que s'han canviat les 8.000 contrasenyes dels usuaris de l'hospital i a totes els han aplicat el sistema de doble autentificació, que fa més difícil que es puguin vulnerar. Segons fonts amb accés a les dades de la investigació, se sospita que els ciberdelinqüents van penetrar als sistemes del centre mitjançant un atac de força bruta. O sigui, amb un programa informàtic que intenta endevinar una contrasenya provant números, lletres i altres caràcters de manera aleatòria o a partir d'uns diccionaris predefinits. Cal dir que un atac d'aquesta mena requeriria una gran quantitat de temps, tant que probablement seria inviable, si la contrasenya estigués ben triada.
En un comunicat, l'hospital ha admès que "s'ha vist compromesa la confidencialitat" de "dades identificadores i de salut de pacients", "dades personals de treballadors" i "dades personals d'entitats col·laboradores i proveïdors". Roy ha insistit que l'hospital no ha perdut dades de cap pacient i que ningú rebrà cap trucada o missatge de l'hospital en què se li demani informació personal o credencials de qualsevol tipus". A més, ha demanat que els pacients i treballadors comprovin l'origen de qualsevol comunicació que rebin, perquè podria ser un intent d'estafa a partir de les dades robades.