Quede claro de antemano, que en esta publicación no pretendo politizar el asunto, ni mucho menos culpar a gobiernos o autoridades sobre qué podría haber ocurrido si se hubiese… Es decir, que sólo pretendo mover la conciencia colectiva y mostrar la relevancia que a pasos de gigante va tomando la ciberseguridad en nuestra vida diaria.

El ataque a los sistemas informáticos del centro sanitario, suponía la paralización total de servicios tan importantes para un hospital, como son las urgencias y el laboratorio de análisis clínicos, entre otros no menos importantes. Con estos servicios anulados, el funcionamiento normal de un establecimiento sanitario tan necesario para una sociedad se ve herido de gravedad, sí o sí. Todo empieza cuando en la pantalla de un monitor, aparece el típico mensaje de alerta, informando que los sistemas han sido anulados y se deberá pagar para poder recuperar la información sustraída.

Antecedentes del ciberataque

Por supuesto, no es el primer establecimiento sanitario público que es víctima de un ciberataque mediante ransomware, el cual inutiliza los sistemas y secuestra datos de gran valor e importancia para el diagnóstico y tratamiento de enfermedades que podrían afectar a cualquiera de los mortales. A cualquiera de nosotros. Desde Canadá, hasta la India, pasando por Barcelona, este no ha sido el primero, ni será el último. Este asunto ya es grave de por sí, pero si además incluimos en dicha lista a los hospitales infantiles que también han sido victimas de dichos ataques, en mi caso la noticia aún cobra tintes más salvajes e inhumanos.

Ciberataque

El primer día de cualquier curso de ciberseguridad, lo primero que se nos enseña es que las personas o usuarios, somos el eslabón más importante y delicado, que se debe implicar en la defensa de los sistemas de informáticos de cualquier organización o empresa, por lo que aunque no sea nada agradable, es a las primeras que hay que poner en el foco de cualquier investigación forense. Por lo tanto, habrá quienes no cerraron el candado a la ciberamenaza o no pusieron los filtros necesarios para que la penetración en dicho sistema fuera menos complicada, ya que en ciberseguridad la protección total no existe, pero debemos buscarla a toda costa.

Dicho esto, creo que entenderemos que un ciberataque no se perpetra sin que falle la actuación de cualquiera de las personas que tienen acceso a dichos sistemas, empezando por la escala más baja de la organización en la defensa del castillo, como se suele enseñar en el ámbito formativo. Desde contraseñas compartidas, poco consistentes o información que sin sospechar se facilita a quien no debiera conocerla, hasta el uso dentro de la organización de dispositivos para uso personal o picando en el anzuelo del phising (término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y conseguir que realice acciones que no debería realizar).

Las cifras

Según el Instituto de Ciberseguridad de España (INCIBE), una de cada 2 empresas u organizaciones en nuestro país, ha sido víctima de ciberataques o ha detectado el intento del mismo. Estamos hablando del 50% del total, cuya cifra cobra importancia cuando se va calculando respecto al total de las existentes.

Por otra parte, a nivel mundial, la ciberdelincuencia mueve al año la cifra de unos 6 billones de dólares en beneficios obtenidos mediante el secuestro o robo de información a organizaciones, empresas y particulares. Por lo tanto, se puede deducir fácilmente que pese a que se recomienda no pagar las cantidades exigidas en estas situaciones, ya que la palabra del delincuente no tiene credibilidad alguna y por lo tanto, no tendremos garantías suficientes para confiar en que pagando vayamos a recuperar nuestra información y el control de nuestros sistemas.

La ciberdelincuencia es considerada como la mayor amenaza para la obtención de dinero de forma ilícita y por tanto, como se puede comprobar en los medios de comunicación a diario, cada vez son menos los atracos a mano armada y más los ciberataques que permiten a quienes los perpetran, conseguir sin moverse de su sillón gaming y contando con un equipo informático “superequipado”, cantidades de dinero mayores y exponiendo el tipo lo menos posible.

Como última cifra para no sobrecargar a los lectores, decir que los dos sectores que más exposición a ciberataques sufren en la actualidad son el sanitario y el financiero. No seré yo quien juzgue a quien decida atacar a una entidad bancaria para enriquecerse ilícitamente, pero sí que me toca algo más la fibra y me guardo otros calificativos, al pensar las consecuencias nefastas que puede tener para quienes acuden a un centro sanitario público, buscando una solución a su patología y aferrándose a la esperanza de poder seguir viviendo.

Los responsables

Según han afirmado distintos medios informativos y autoridades de investigación, RansomHouse es el grupo cibercriminal autor de dicho ataque. Una banda relativamente nueva en escena, ya que el primer ciberataque que se les atribuye ocurrió en diciembre de 2021. Desde entonces, su actividad se ha caracterizado por la infrecuente forma de actuación, muy diferente a lo que los investigadores de ciberseguridad están acostumbrados a encontrarse en casos de ataque mediante ransomware.

Mientras que los ataques de este tipo, suelen encriptar los equipos, sistemas y archivos para después pedir un rescate, la técnica de RansomHouse pasa por robar en primer lugar la información y después reclamar el rescate. Además, no reivindican su responsabilidad en los ataques, sino que acostumbran a señalar directamente a las víctimas como las culpables de haber sido extorsionadas“Creemos que los culpables no son los que encontraron la vulnerabilidad o llevaron a cabo el hackeo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron un candado en la puerta”, afirman en su propia página.

Mientras continúa la investigación del ataque por parte de los Mossos d’Esquadra, Europol e Interpol, se sabe que el golpe llega desde el extranjero. Todavía no hay información fiable sobre la procedencia del grupo, pero existe la evidencia por parte de las autoridades, que la mayor parte de integrantes del grupo son en vista del déficit ético que conlleva el ataque contra un hospital público, ciberdelincuentes.

Hay medios que los catalogan como empresa. Bueno, aceptaremos como empresa a cualquier organización que tributa impuestos en cualquier lugar del planeta y se registra como tal en los organismos mercantiles. Pero, demostrada su forma de actuar, es una empresa con poca o ninguna ética profesional y se debe a fines bastante oscuros.

Cuerpos y fuerzas de seguridad ubicadas alrededor del planeta y basándose en su forma de actuar, concluyen en que sus integrantes son exhackers éticos, hartos de dedicarse a la profesión sin esperanzas de poder enriquecerse económicamente, que han decidido “pasarse al lado oscuro”, con la esperanza de poder alcanzar un mayor beneficio económico. Es decir, que si en su momento se molestaron en obtener la certificación de Hacking Ético, poca utilidad va a tener a partir de ahora, dedicándose a esta nueva actividad que nada tiene de ética. Libre es cada cual, de sopesar los pros y contras de la dedicación de sus conocimientos a unos u otros fines. Para mí, no hay almohada más cómoda que una conciencia tranquila.

Debe saber el lector que, el hacker ético actúa a demanda y con el conocimiento de las personas u organizaciones interesadas en conocer la vulnerabilidad de sus sistemas o seguridad de la información que manejan, para subsanar las carencias. Lógicamente, estos profesionales debidamente preparados, cobran por su trabajo, pero no se apoderan de información sin consentimiento del propietario. También lo hacen con sistemas o aplicaciones, pero con el fin de mejorar la fiabilidad y eliminar vulnerabilidades, que propician que nuestros sistemas operativos reciban las convenientes actualizaciones, por ejemplo. Se deben a un código ético de conducta. Es lo que les diferencia principalmente de los ciberdelincuentes.

Tras efectuar el ciberataque y tras recibir el no como respuesta a su chantaje, RansomHouse advierte de su disposición a publicar o traficar con la información obtenida, con las consecuencias negativas que ello podría tener para personas inocentes, que ya de entrada han sufrido el retraso de las pruebas clínicas o tratamientos necesarios (a veces vitales), que les podría acarrear peores resultados.

Conclusión

Después de todo lo anterior y sabiendo que no estoy descubriendo la pólvora, obrando en conciencia debo recordar que en nuestros días, cualquier persona, empresa u organismo, debe perseguir a toda costa y velar por proteger la seguridad de sus sistemas y la confidencialidad de la información que maneja, por ello, sólo en España se calcula que se necesita la labor de unos 80.000 profesionales en el campo de la ciberseguridad (aproximadamente).

En la era de la información, cualquier medida es insuficiente para protegerla, por lo que del mismo modo que se contratan los servicios profesionales de diferentes sectores, se debe tener más en consideración y fomentar la contratación de los que nos dedicamos a este. Además de procuramos el mantenimiento de la salud a nivel personal, se debe procurar la “salud” de los sistemas de la información, sobre todo cuando no son sólo nuestros datos personales los que corren riesgo y tomar conciencia del riesgo existente en que dicha información caiga en manos de personas con poca ética. Es un mensaje dirigido a particulares, empresas, organismos y gobiernos.