El pasado 5 de marzo, el Clínic recibió un ataque de tipo 'ransomware', un método con el que los cibercriminales secuestran datos especialmente importantes y piden un rescate para desbloquear su acceso. RansomHouse, el grupo de piratas informáticos detrás de la agresión, ha reclamado al Govern el pago de 4,5 millones de dólares (4,2 millones de euros) para liberar los 4,4 terabytes de datos afectados, una exigencia que las autoridades han rechazado.
El centro confirmó este lunes que aún no pueden consultar los archivos de los servidores afectados, lo que dificulta saber el alcance real del ciberataque. Fuentes de la investigación señalaron el pasado 8 de marzo a EL PERIÓDICO que se podrían haber robado datos de ensayos sobre cáncer y enfermedades autoinmunes, ámbitos en los que el centro es puntero. Sanitarios aseguraron entonces a este diario que los atacantes habrían accedido a sus nóminas y datos fiscales.
Tales afirmaciones no se han confirmado. En las últimas semanas, han remarcado que el ataque no afectó al SAP, el sistema informático de gestión empresarial en el que se gestionan datos como la información financiera del hospital, nóminas de los trabajadores, investigación o listas de urgencias, entre otros. Sergi Marcén, secretario de Telecomunicacions i Transformació Digital de la Generalitat, aseguró el 10 de marzo que "ni la base de datos estructurales del Departament de Salut ni la historia clínica compartida de los pacientes ha estado comprometida".
OBLIGACIÓN LEGAL
El Clínic ha reconocido el posible golpe a la "confidencialidad de los datos de pacientes y trabajadores" por obligación legal. El artículo 34 del Reglamento General de Protección de Datos (RGPD) establece que, ante una violación de la seguridad de los datos, "el responsable debe comunicar sin dilación indebida a las personas afectadas si es probable que comporten un riesgo alto para sus derechos y libertades". Según ha podido saber EL PERIÓDICO, el hospital ya notificó a la Autoritat Catalana de Protecció de Dades (APDCAT) del ciberataque sufrido —como marca la normativa europea— aunque aún no se han especificado los datos afectados.
La exposición de datos, como es habitual, podría derivar en más ciberataques. "Mientras no se disponga de toda la información se recomienda prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correos electrónicos, terminales móviles u otros medios para evitar eventuales suplantaciones de identidad", reza el comunicado del Clínic.
CAMBIO DE CONTRASEÑAS
Aunque sigue sin tener acceso a internet, el Clínic ha podido recuperar parte de su actividad gracias a que el equipo de ciberseguridad del centro ha podido levantar un sistema paralelo al afectado. El pasado viernes, el hospital informó que se habían podido recuperar un 48% de los servidores, que estaban siendo analizados para detectar que no hubiese rastro en ellos del virus implantado por los piratas informáticos.
Atacar los sistemas informáticos de los hospitales es un método al que cada vez recurren más cibercriminales, pues al poner vidas en riesgo genera mucha más presión a las víctimas para que paguen. Aún así, tanto cuerpos policiales como expertos en ciberseguridad recomiendan no ceder al chantaje, pues alimenta ese oscuro negocio.
ARTÍCULO COMPLETO: https://www.elperiodico.com/es/sanidad/20230321/hospital-clinic-hospital-ciberataque-robo-datos-pacientes-84953256
Barcelona21 de marzo del 2023. 18:15
No hay comentarios:
Publicar un comentario