El pasado 5 de marzo, el Hospital Clínic de Barcelona notificó a la Agencia de Ciberseguridad de Catalunya que había sufrido un ciberataque ransomware, es decir, un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta y en el que el ciberdelicuente toma el control.

El ataque sufrido provocó la desprogramación de miles de consultas externas previstas, así como cirugías no urgentes y extracciones. También se vieron obligados a aplazar sesiones de radioterapia oncológica y muchos servicios, como los códigos ictus o códigos infarto, se derivaron a otros centros sanitarios de la zona. Las personas trabajadoras del Clínic tuvieron que recurrir al papel para seguir atendiendo a los 800 pacientes hospitalizados.

El ciberataque, según datos de la Agencia de Ciberseguridad de Catalunya, fue lanzado por la empresa de cibercrimen Ransomhouse, y, además de afectar al Clínic, también tuvo incidencia en los centros CAP Casanova, CAP Borrell y CAP Les Corts. El centro de investigación vinculado al hospital, el IDIBAPS, también se vio afectado.

El director general de la Agencia de Ciberseguridad de Catalunya, Tomás Roy, señaló que el “adversario ha implementado técnicas de ataque nuevas sofisticadas y complejas” y, además, de “una manera transversal”. También apuntó que las técnicas utilizadas son novedosas y asegura que se produjo una filtración de datos.

En este tipo de ataques, los piratas informáticos realizan dos acciones. Por un lado, cierran las puertas de acceso a cada nivel de archivo de la información y, por otro, encriptan los archivos, de forma que no se puede acceder a ellos. De este modo, toman el control absoluto y crean las condiciones óptimas para exigir un rescate a cambio de levantar el “secuestro” de un sistema de información y gestión sin el que no es viable operar con normalidad.

Sergi Marcén, secretario de Telecomunicaciones y Transformación Digital del Govern de la Generalitat, destacó que, en el caso del Clínic, no se produjo comunicación con los atacantes, centrando el plan de contingencia en la recuperación de la información. La recuperación de datos ha sido gradual y todavía no ha finalizado, priorizando levantar los servicios afectados y velando por la contención de daños

El sector sanitario, en el foco de los ciberdelicuentes

Desde hace unos años, y especialmente tras la irrupción del Covid-19, los organismos y empresas vinculadas a la salud han sido víctimas de ataques informáticos que podrían tener consecuencias severas para el sector. Según datos de la Agencia de Ciberseguridad de Catalunya, se produce un ataque cibernético cada tres horas con una media de 2.000 al año.

Uno de los mayores riesgos a los que se enfrenta el sistema sanitario actualmente son los ciberataques ya que, además de poner en jaque la protección de datos, también conlleva severas consecuencias económicas. Los centros sanitarios almacenan grandes cantidades de información confidencial y de carácter especial (regulada en el art. 9 del RGPD) de los pacientes, incluidos registros médicos, información personal, datos biométricos y, en algunos casos, detalles de pago, lo que las convierte en un objetivo atractivo para los ataques cibernéticos.

Para los hospitales, como responsables del tratamiento de la información de sus pacientes, la pérdida del control de esta información confidencial puede conllevar graves consecuencias económicas y legales. Además, perder el acceso a los informes médicos implica que las hospitalizaciones se alarguen y que se ralentice el diagnóstico y tratamiento, algo que pone en riesgo la vida de los pacientes.