Ciberataque en el Clínic: ¿Por qué el hospital no estaba integrado en la Agencia de ciberseguridad si existía un plan para ello?
La actual secretaría de telecomunicaciones de la Generalitat cuestiona la “demora” del equipo de Jordi Puigneró, exconsejero de Políticas Digitales, para incorporar el hospital al organismo
El hospital Clínic inició la integración a la Agencia de Ciberseguridad de Cataluña a principios de 2023, más de un año después de que el organismo público creara en septiembre del 2021 un plan de protección específico para el sistema sanitario. El proceso de incorporación comenzó pocas semanas antes de sufrir el pasado 5 de marzo el robo de 4,5 terabytes de datos en un ciberataque que limitó su actividad asistencial, cuando aún no estaba bajo el amparo de su modelo de protección, y que alertó a los expertos en la materia por los “fallos” del sistema del hospital. RansomHouse, el grupo de ciberdelincuentes que reivindicó el ataque, amenazó el pasado jueves con filtrar información personal de pacientes “con enfermedades infecciosas” pocos días después de que los Mossos d’Esquadra bloquearan el acceso al contenido robado en Internet.
¿Por qué el Clínic, como otros centros sanitarios, no estaba bajo el paraguas del organismo cuando los hospitales se convirtieron en diana de los ciberdelincuentes durante la pandemia? La actual secretaría de telecomunicaciones de la Generalitat cuestiona los ritmos del organismo bajo la tutela de Jordi Puigneró, exresponsable del extinto Departamento de Políticas Digitales.
La Agencia, ahora dependiente del Departamento de Presidencia y creada en 2020, estableció en septiembre de 2021 un plan específico para el sector sanitario. La hoja de ruta era integrar el mismo 2021 a los hospitales y centros del Institut Català de la Salut (ICS), el proveedor público de servicios de salud de Cataluña; y asumir la ciberseguridad de cuatro centros transversales durante 2022. Otros 15 hospitales concertados, incluido el Clínic, entrarían en 2023; y el resto de centros de titularidad público-privada, entre 2024 y 2025; según fuentes de la Agencia.
Estos plazos son insuficientes a ojos de la actual secretaría de telecomunicaciones. “Se tenía que haber acelerado y garantizado la entrada del Clínic y otros centros al modelo de la Agencia lo antes posible”, aseguran fuentes del organismo, que cambió de manos tras la salida de Junts del Govern, el pasado octubre de 2022. EL PAÍS contactó con Puigneró, pero no obtuvo respuesta. Cuestionados sobre por qué los actuales responsables de la Agencia no aceleraron a su llegada los plazos para incorporar a los hospitales, las mismas fuentes señalan que ahora integrarán a todos los centros este año. El departamento de Salud confirma el acelerón de cara a 2023.
La secretaría convocó el pasado 22 de marzo a todos los gerentes de los hospitales catalanes para apremiarles a integrarse en la Agencia en una reunión con la consejera de Presidencia, Laura Vilagrà; el de Salud, Manel Balcells; y miembros de los Mossos d’Esquadra. La Agencia insistió que el caso del Clínic “no es aislado” y puso su sistema de ciberseguridad a disposición de los centros.
Los expertos ofrecieron realizar un “test de estrés”, es decir, realizar un diagnóstico de rendimiento para detectar aquellos puntos débiles en el sistema de seguridad, y “monitorizar” el sistema para facilitar la intervención humana ante un ataque que ha traspasado los primeros muros de seguridad, según fuentes presentes en la reunión, entre otros servicios. La Agencia interviene de forma manual en tres ataques de media al día y diferentes fuentes consultadas coinciden en que el Clínic tenía pocos recursos en esta fase de intervención. El ataque se consumó gracias a una credencial vulnerable, según fuentes de la investigación, y obligó al hospital a cambiar 8.000 contraseñas e instalar el sistema de doble autenticación
Actuación policial y contraataque
RansomHousme pidió un rescate de más de cuatro millones de euros para devolver los 4,5 terabytes de información personal de pacientes y profesionales. La Generalitat ya anunció que no piensa pagarlos y la situación se ha convertido en una persecución policial, pero en digital y sin carreras de coches. Los hackers publicaron el 30 de marzo una parte de su contenido en la deep web, aquella parte de Internet oculta a los motores de búsqueda convencionales; y los Mossos d’Esquadra bloquearon el viernes el acceso al sitio de Internet. Como contraataque, los ciberdelincuentes amenazaron este jueves a través de sus canales de comunicación con filtrar información personal de pacientes “con enfermedades infecciosas”. Los criminales también animan a los usuarios del centro hospitalario a denunciar la pérdida de sus datos personales.
“En los próximos días habrá cambios que gustarán a muchos pero no a la policía. Publicaremos a corto plazo un nuevo paquete de datos”, escribe el grupo en su texto. Los ciberdelincuentes señalan que el error en la protección de los datos “está totalmente relacionado con la gestión del hospital” y remarcan que “es imposible descuidar los datos personales”. El Clínic ha defendido desde el inicio de la crisis que su sistema de protección es “bueno”.
El Centre de Seguretat de la Informació de Catalunya (Cesicat), el predecesor de la actual Agencia, ya reclamaba hace años en el documento Estrategia de Ciberseguretat de la Generaltiat de Catalunya (2019-2022), “aprovechar los mecanismos y estructuras [...] de la Administración” en cuestiones de seguridad digital; e interpelaba directamente a los centros público-privados: “En el ámbito de la salud se requiere la implicación del Siscat [las entidades del sistema concertado], con independencia de la titularidad pública o privada de las entidades que lo integran”.
Puedes seguir a EL PAÍS Catalunya en Facebook y Twitter, o apuntarte aquí para recibir nuestra newsletter semanal
Sobre la firma
