Els ciberpirates exigeixen a l’Hospital Clínic 4,5 milions de dòlars a canvi de no divulgar dades

L’empresa de cibercrim RansomHouse reclama al Govern el pagament de 4,5 milions d’euros per no fer públiques ni revendre les dades de l’Hospital Clínic de Barcelona que va sostreure diumenge passat amb un ciberatac del tipus ‘ransomware’, que continua afectant l’activitat del centre mèdic. «No pagarem ni negociarem amb aquests cibercriminals», ha insistit Sergi Marcén, el secretari de Telecomunicacions i Transformació Digital de la Generalitat.

Entre les dades que podrien publicar hi ha investigacions i assajos sobre càncer i malalties autoimmunes, camps en què el Clínic és capdavanter. Aquest divendres, cinc dies després del ciberatac, l’hospital segueix sense internet i els seus professionals, treballant de manera manual, en paper, com fa 20 anys. Fonts pròximes al centre asseguren a EL PERIÓDICO que s’està reclutant experts en ciberseguretat externs, que continuaran treballant aquest cap de setmana a contrarellotge per mirar de reiniciar el sistema informàtic del Clínic i recuperar al més aviat millor els seus serveis.

Aquests delinqüents, que procedeixen de fora d’Espanya i van utilitzar una tècnica «nova» per cometre l’agressió informàtica, s’han posat en contacte amb la Generalitat en les últimes hores amb aquesta última reclamació. El Govern treballa ja en un escenari de «possible publicació de dades», una cosa que es pot produir «en qualsevol moment». RansomHouse encara no ha exposat dades de l’hospital al seu canal de Telegram, on sol fer-ho.

Davant aquesta amenaça està elaborant un protocol per prevenir els professionals i pacients del Clínic davant el possible enviament de missatges falsos. «Desconfiem sempre dels missatges que demanin diners o dades, i evitem fer clic en ‘links’ sospitosos», ha dit Tomàs Roy, director general de l’Agència de Ciberseguretat de Catalunya. «L’hospital no ha perdut cap dada, les dades hi són, però no hi podem accedir. Així que si us truquen demanant dades amb l’excusa d’aquest incident, sapigueu que és fals».

Filtració a la ‘dark web’

Els Mossos d’Esquadra estan en alerta. «Farem patrullatge a la ‘dark web’ i en el moment en què es produeixi aquesta filtració d’informació, l’eliminarem del sistema perquè no corri per la xarxa», ha assenyalat per la seva banda Ramon Chacón, cap de la Comissaria General d’Investigació Criminal del cos policial català. La web fosca és un espai digital anònim i xifrat en el qual habita un mercat negre de tota mena de productes i serveis il·legals, des del tràfic d’armes i drogues a la pornografia infantil o el cibercrims.

Marcén ha explicat que RansomHouse ha segrestat quatre terabytes de dades. Aquesta quantitat equivaldria a l’emmagatzematge d’uns 64 telèfons mòbils bàsics. Ha insistit que el Govern desconeix a quin tipus de dades han accedit, ja que encara no s’ha pogut accedir al contingut de les còpies de seguretat del centre. Tot i així, fonts de la investigació asseguraven fa dies a EL PERIÓDICO que preocupa principalment el robatori d’assajos clínics sobre càncer i malalties autoimmunes.

Cinc dies després de l’atac, l’hospital té en marxa el 15% dels seus sistemes digitals. El secretari ha insistit que no s’ha compromès l’historial clínic de la Conselleria de Salut, sinó només el del Clínic, i que no hi haurà «cap tipus de negociació amb ells», seguint així les recomanacions dels experts. Com a prova de vida, els cibercriminals han enviat una imatge de l’«arbre de vida principal de l’hospital» a les autoritats.

Els Mossos han avisat que qualsevol empresa que compri aquestes dades també estarà incorrent en un delicte. «La possibilitat de compravenda d’aquestes credencials existeix, però no hi ha una gran clientela. No hi ha un gran mercat, però sí que es pot fer aquesta venda i un traspàs d’informació», ha assenyalat Chacón.

Recuperació progressiva

L’Hospital Clínic, que ja ha recuperat el 40% de l’activitat complexa, el 40% de l’activitat quirúrgica menys complexa, el 70% de les consultes externes i els codis ictus i infarts, creu que, «si tot va bé», podria recuperar la normalitat «dilluns o dimarts». Així ho ha avançat el director mèdic del centre, Antoni Castells. 

No obstant, els sanitaris continuen treballant amb paper i boli. «Laboratori i farmàcia són els que més han patit aquest atac, perquè han hagut de fer tota la feina en paper. Totes les prescripcions farmacèutiques s’han fet en paper», ha afegit Castells.

Malgrat tot aquest «esforç ingent», aquesta setmana el Clínic ha deixat de fer més de 4.000 analítiques de pacients ambulatoris (sí que s’han fet les de tots els ingressats), més de 300 intervencions i més d’11.000 visites a consultes externes.

Tampoc s’ha pogut fer la radioteràpia oncològica: 25 pacients del Clínic estan sent tractats a Sant Pau i 10 més que anaven a començar el tractament aquí l’han començat a Sant Pau i la Vall d’Hebron. El Clínic sí que ha pogut «treure» més de 200 ordinadors de «contingència» per accedir a la història clínica dels malalts, i 80 ordinadors més han pogut accedir a la història clínica compartida.

Un 0,02% de possibilitats

Marcén ha defensat que l’hospital estava «ben preparat» per prevenir ciberatacs i que té «bons sistemes d’informació». «Però sempre hi ha una petita possibilitat, un 0,02%, que passin aquestes coses. I, desgraciadament, ha passat», ha lamentat. Això significa que el Clínic no rebrà cap multa o sanció pel que ha passat.

L’Agència de Ciberseguretat de Catalunya recolza aquesta versió. El Clínic estava ben protegit. No només és un hospital capdavanter en medicina, sinó també en l’àmbit tecnològic, amb una capacitat de protecció molt elevada», ha assegurat Roy. Els esforços de la Generalitat se centren ara en el fet que no hi hagi «nous incidents».

El ‘modus operandi’

RansomHouse no és un grup de cibercriminals a l’ús. Es creu que la seva primera aparició va ser el desembre del 2021, segons BleepingComputer. En el manifest que tenen penjat al seu portal a la ‘dark web’, asseguren que no segresten informació i es venen com una «comunitat» d’experts en ciberseguretat que busca recompenses detectant fallades de seguretat en els sistemes informàtics d’empreses i entitats. «No tenim res a veure amb cap infracció», asseguren en el seu portal a la ‘dark web’. «Creiem que els culpables no són els que van trobar la vulnerabilitat o van portar a terme el pirateig, sinó els que no van cuidar la seguretat, els que no van posar un candau a la porta i la van deixar oberta de bat a bat, convidant tothom a entrar-hi».

Les proclames del seu manifest podrien ser una mentida, ja que contra el Clínic sí que han recorregut al segrest i a un mètode de doble extorsió, segons confirmen els Mossos. Primer, infecten el sistema informàtic de l’hospital amb un virus que bloqueja l’accés a la informació i exigeixen el pagament d’un rescat per desbloquejar-los. Si la víctima decideix no pagar, els atacants roben les dades i amenacen de vendre-les a tercers. Si ningú està interessat a comprar-les, Ransom House acostuma a fer-les públiques a la seva pàgina web o al seu canal de Telegram.

«Mai s’ha de pagar, és un consell de totes les policies del món. Si paguem, dotem econòmicament aquestes organitzacions i podrien fer moltíssims més atacs. L’única manera de parar això és que ningú pagui», ha defensat Chacón. «Aquests grups volen lucre, així que descartem altres activitats delictives».

Notícies relacionades

¿Qui són Ransom House, els responsables del ciberatac a l’Hospital Clínic?

El pòdcast d’EL PERIÓDICO: cinc dies sense accés als ordinadors a l’Hospital Clínic

L’objectiu dels Mossos és restablir el sistema, bloquejar aquestes dades perquè no es puguin vendre o publicar, identificar aquests criminals i portar-los davant la justícia. Això és especialment difícil, ja que operen des de l’estranger i es desconeix qui hi ha al darrere.

El 2022, Catalunya va rebre 68.000 activitats relacionades amb el cibercrim, la majoria, estafes. De tipus ‘ransomware’, com el que ha rebut ara el Clínic, n’hi ha hagut unes 600, un 1% del total.