Ransom House filtra parte de los datos robados al Hospital Clínic de Barcelona

Han publicado en la dark web una entre 3 y 4 gigas de los 4,4 terabytes de la información que secuestraron, por la que piden un rescate de 4,5 millones de dólares.

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Hospital Clínic de Barcelona
Hospital Clínic de Barcelona

El grupo de ciberdelincuentes Ransom House ha confirmado que estuvo detrás del "sofisticado y complejo" ciberataque de ransomware que sufrió el Hospital Clínic de Barcelona el pasado 5 de marzo. Hasta ahora, la banda no había reivindicado públicamente el ataque, pero la agencia de ciberseguridad de Cataluña no tardó en atribuírselo y esta madrugada los propios piratas informáticos lo han reconocido filtrando una parte de los datos que consiguieron robar al centro sanitario.

Ransom House ha anunciado esta filtración en su canal de Telegram, donde ha compartido un enlace que conduce a la dark web en la que se encuentran los datos robados junto al siguiente mensaje: "Hemos añadido otro a nuestra lista. Conoced el Hospital Clínic de Barcelona". En concreto, han publicado "entre tres y cuatro gigas" de información, pero tienen en su poder 4,4 terabytes de datos, según ha señalado en rueda de prensa Antoni Castells, director médico del Hospital Clínic, y recoge El Periódico.

Entre los datos revelados habría información personal "extremadamente sensible" de los pacientes, trabajadores, colaboradores y proveedores del centro como los historiales clínicos, los correos electrónicos y sus salarios, informa el citado medio. Además, apunta que, según el diario ARA, Ransom House habría puesto a la venta parte de los datos robados por un precio de unos 5.000 dólares, una información sobre la que las autoridades no han hecho ninguna declaración.

El Govern no ha respondido a su extorsión y se prevén más filtraciones

Esta filtración se ha producido tres semanas después de que Ransom House reclamara a la Generalitat un rescate de 4 millones y medio de dólares (4,2 millones de euros) a cambio de devolver los datos que sustrajeron en el ataque y de no hacerlos públicos o revenderlos a terceros. Entonces, el director de la Agència de Ciberseguretat de Catalunya, Tomàs Roy, aseguró que no iba a haber ningún tipo de negociación y que el "Govern no pagará ni un céntimo", y hoy ha reafirmado que se han mantenido firmes en esta postura.

"Como no estamos dando respuesta a su petición, los piratas informáticos filtran datos de forma pautada" con el objetivo de "mantener la extorsión", ha señalado Roy en la rueda de prensa que ha ofrecido junto al director médico del Clínic y el jefe de la Comisaría General de Investigación Criminal de los Mossos d'Esquadra, Ramon Chacón.

Según ha explicado Roy y recogen tanto EFE como Europa Press, Ransom House está siguiendo un "ciclo de extorsión" habitual que consiste en publicar una pequeña parte de los datos para demostrar que se han apoderado de ellos y en ir filtrando más gradualmente. La previsión es que de aquí a dos semanas haya un "escape" del mismo volumen que el de esta madrugada y que en uno o dos meses publiquen el resto de la información robada, porque esa ha sido su "forma de operar" en hospitales del extranjero.

El director de la Agència de Ciberseguretat de Catalunya no ha pasado por alto que esta primera filtración incluye datos personales y de tipo identificativo, ante lo que ha alertado que las personas afectadas podían ser objetivo de estafas. Para prevenirlo, ha insistido en verificar el origen de enlaces, llamadas, correos e incluso cartas escritas que puedan llegar a los usuarios con posibles suplantaciones de identidades o para inducir a engaños. Además, Roy ha remarcado que los datos afectados se consideran "desestructurados", lo que "dificulta identificar de qué datos se trata", informa El Periódico.

El ataque no afectó al sistema SAP ni comprometió otra información relevante

El director médico del Hospital Clínic ha remarcado que el ataque "no ha comprometido datos estructurales del sistema informático de gestión empresarial que utilizamos en el día a día", el SAP, desde el que gestionan la información financiera del hospital, así como las nóminas de los trabajadores o las  listas de urgencias. Castells también ha subrayado que "no se han perdido datos de los pacientes" y, además, ha descartado que los ciberdelincuentes tengan algún dato "de secreto industrial" de ensayos clínicos, dado a que no están en el sistema del Clínic sino que se guardan en los servidores de la industria o la sociedad que financia la investigación.

Por otra parte, Castells ha asegurado que el centro sanitario ya ha recuperado la normalidad asistencial. "La semana pasada normalizamos el escollo del centro de analíticas, que ya funciona con normalidad", ha comentado. En cuanto a la actividad que tuvo que ser aplazada por el ciberataque, el director médico del Clínic ha señalado que la previsión es cumplir con las intervenciones y visitas pendientes antes de Semana Santa.

La investigación sigue en curso y los Mossos podrían lanzar su primer ciberataque DDoS

El jefe de la Comisaría General de Investigación Criminal de los Mossos d'Esquadra, Ramon Chacón, ha indicado que la investigación sigue en curso y que los agentes están trabajando en el bloqueo y la eliminación de los datos filtrados en la dark web, pero que estos datos no están indexados por lo que no pueden saber "exactamente dónde están". Asimismo, ha avisado que cualquier persona que utilice los datos filtrados puede cometer un delito. "Es como si abriéramos una puerta de casa para que otro entrara a robar".

Chacón también ha destacado que la policía autonómica catalana, a través del ciberpatrullaje, logró bloquear dos servidores de Ransom House ubicados en el extranjero, aunque no ha podido impedir que hayan hecho la primera filtración de datos en la dark web. En cualquier caso, ha aseverado que van a hacer "todo lo que esté en nuestra mano para bloquear estos datos (difundidos)". Esto incluye, según el comisario y como indica La Vanguardia, la posibilidad de que los Mossos lancen, por primera vez, un ciberataque de denegación de servicio (DDoS), que consiste en colapsar un servidor o sistema a base de disparar el tráfico desde multitud de equipos.