La empresa de cibercrimen RansomHouse reclama al Govern catalán el pago de 4,5 millones de euros para no hacer públicos ni revender los datos del Hospital Clínic de Barcelona que sustrajo el pasado domingo con un ciberataque del tipo ransomware, el cual sigue afectando a la actividad del centro médico. "No pagaremos ni negociaremos con estos cibercriminales", ha insistido Sergi Marcén, el secretario de Telecomunicaciones y Transformación Digital de la Generalitat.

Entre los datos que podrían publicar se encuentran investigaciones y ensayos sobre cáncer y enfermedades autoinmunes, campos en los que el Clínic es punteroEste viernes, cinco días después del ciberataque, el hospital sigue sin internet y sus profesionales, trabajando de manera manual, en papel.

Estos delincuentes, que proceden de fuera de España y utilizaron una técnica "novedosa" para cometer la agresión informática, se han puesto en contacto con la Generalitat en las últimas horas con esta última reclamación. El Govern trabaja ya en un escenario de "posible publicación de datos", algo que se puede producir "en cualquier momento". RansomHouse aún no ha expuesto datos del hospital en su canal de Telegram, donde suele hacerlo.

Ante esta amenaza está elaborando un protocolo para prevenir a los profesionales y pacientes del Clínic ante el posible envío de mensajes falsos. "Desconfiemos siempre de los mensajes que pidan dinero o datos, y evitemos hacer clic en links sospechosos", ha dicho Tomàs Roy, director general de la Agència de Ciberseguretat de Cataluña. "El hospital no ha perdido ningún dato, los datos están, pero no podemos acceder a ellos. Así que si os llaman pidiendo datos con la excusa de este incidente, sabed que es falso".

Filtración de investigaciones en la 'dark web'

Los Mossos d'Esquadra están en alerta. "Haremos patrullaje en la 'dark web’ y, en el momento en que se produzca esta filtración de información, la eliminaremos del sistema para que no corra por la red", ha señalado por su parte Ramon Chacón, jefe de la Comisaria General de Investigación Criminal del cuerpo policial catalán. La internet oscura son espacios digitales anónimos y cifrados en los que habita un mercado negro de todo tipo de productos y servicios ilegales, desde el tráfico de armas drogas a la pornografía infantil o el cibercrimen.

Marcén ha explicado que RansomHouse ha secuestrado cuatro terasbytes de datos. Esa cantidad equivaldría al almacenamiento de unos 64 teléfonos móviles básicos. Aún así, ha insistido en que el Govern desconoce a qué tipo de datos han accedido, pues aún no se ha podido acceder al contenido de las copias de seguridad del centro. Aún así, fuentes de la investigación aseguraban hace días a EL PERIÓDICO que preocupa principalmente el robo de ensayos clínicos sobre cáncer y enfermedades autoinmunes.

Cinco días después del ataque, el hospital tiene en marcha el 15% de sus sistemas digitales. El secretario ha insistido que no se ha comprometido el historial clínico de la Conselleria de Salut, sino solo los del Clínic, y que no habrá "ningún tipo de negociación con ellos", siguiendo así las recomendaciones de los expertos. Como prueba de vida, los cibercriminales han mandado una imagen del "árbol de vida principal del hospital" a las autoridades.

Los Mossos han avisado de que cualquier empresa que compre estos datos también estaría incurriendo en un delito. "La posibilidad de compraventa de estas credenciales existe, pero no hay una gran clientela. No hay un gran mercado, pero sí se puede hacer esta venta y un traspaso de información", ha señalado Chacón.

Recuperación progresiva

El Hospital Clínic, que ya ha recuperado el 40% de la actividad compleja, el 40% de la actividad quirúrgica menos compleja, el 70% de las consultas externas y los códigos ictus e infartos, cree que, "si todo va bien", podría recuperar la normalidad "el lunes o martes". Así lo ha adelantado el director médico del centro, Antoni Castells. 

Sin embargo, los sanitarios siguen trabajando con papel y boli. "Laboratorio y farmacia son los que más han sufrido este ataque porque han tenido que hacer todo su trabajo en papel. Todas las prescripciones farmacéuticas se han hecho en papel", ha añadido Castells.

Pese a todo este "esfuerzo ingente", esta semana el Clínic ha dejado de hacer más de 4.000 analíticas de pacientes ambulatorios (sí se han hecho de todos los ingresados), más de 300 intervenciones y más de 11.000 visitas a consultas externas.

Tampoco se ha podido hacer la radioterapia oncológica: 25 pacientes del Clínic están siendo tratados en Sant Pau y otros 10 que iban a empezar el tratamiento aquí lo han comenzado en Sant Pau y Vall d'Hebron. El Clínic sí ha podido "sacar" más de 200 ordenadores de "contingencia" para acceder a la historia clínica de los enfermos, y otros 80 ordenadores han podido acceder a la historia clínica compartida.

Un 0,02% de posibilidades

Marcèn ha defendido que el hospital estaba "bien preparado" para prevenir ciberataques y que tiene "buenos sistemas de información". "Pero siempre hay una pequeña posibilidad, un 0,02%, de que pasen estas cosas. Y, desgraciadamente, ha pasado", ha lamentado. Eso significa que el Clínic no recibirá multa o sanción alguna por lo ocurrido.

La Agència de Ciberseguretat de Cataluña apoya esa versión. El Clínic estaba bien protegido. No solo es un hospital puntero en medicina, sino también en el ámbito tecnológico, con una capacidad de protección muy elevada", ha asegurado Roy. Los esfuerzos de la Generalitat se centran ahora en que no haya "nuevos incidentes".

El 'modus operandi'

RansomHouse no es un grupo de cibercriminales al uso. Se cree que su primera aparición fue en diciembre de 2021, según BleepingComputer. En el manifiesto que tienen colgado en su portal en la 'dark web', aseguran no secuestrar información y se venden como una "comunidad" de expertos en ciberseguridad que busca recompensas detectando fallos de seguridad en los sistemas informáticos de empresas y entidades. "No tenemos nada que ver con ninguna infracción", aseguran en su portal en la 'dark web'. "Creemos que los culpables no son quienes encontraron la vulnerabilidad o llevaron a cabo el pirateo, sino quienes no cuidaron la seguridad, quienes no pusieron un candado en la puerta y la dejaron abierta de par en par, invitando a todo el mundo a entrar".

Las proclamas de su manifiesto podrían ser una mentira, pues contra el Clínic sí han recurrido al secuestro y a un método de doble extorsión, según confirman los Mossos. Primero, infectan el sistema informático del hospital con un virus que bloquea el acceso a la información y exigen el pago de un rescate para desbloquearlos. Si la víctima decide no pagar, los atacantes roban los datos y amenazan con venderlos a terceros. Si nadie está interesado en comprarlos, RansomHouse suele hacerlos públicos en su página web o en su canal de Telegram.

"Nunca se debe pagar, es un consejo de todas las policías del mundo. Si pagamos, dotamos económicamente a estas organizaciones y podrían hacer muchísimos más ataques. La única manera de parar esto es que nadie pague", ha defendido Chacón. "Estos grupos quieren lucro, así que descartamos otras actividades delictivas".

El objetivo de los Mossos es restablecer el sistema, bloquear estos datos para que no se puedan vender o publicar, identificar a estos criminales y llevarlos ante la justicia. Eso es especialmente difícil, pues operan desde el extranjero y se desconoce quién está detrás.

En 2022, Cataluña recibió 68.000 actividades relacionadas con el cibercrimen, la mayoría estafas. De tipo 'ransonware', como el ahora sufrido por el Clínic, hubo unas 600, un 1% del total.