El cibercrimen, al igual que el resto de los tipos de criminalidad, tiene esencialmente motivaciones económicas. Ya sea por parte de un individuo, de una mafia o de un estado, la decisión de atacar a una víctima o a otra o de hacerlo en un momento concreto, normalmente tiene que ver con el beneficio económico directo o indirecto que se pueda obtener.
Hemos observado en los últimos meses que los organismos involucrados en la investigación del covid-19 (en concreto, de su vacuna), los centros hospitalarios o las compañías que ofrecen seguros de salud se han convertido en objetivos prioritarios de los ciberataques.
Ciberespionaje y sabotaje a la investigación
Una de las amenazas principales a las que tienen que hacer frente los diferentes grupos de investigación y laboratorios que están realizando trabajos relacionados con el tratamiento o la vacuna del covid-19 es el ciberespionaje.
Agencias británicas y estadounidenses no han dudado en culpar en los últimos meses a grupos rusos y chinos de los ataques sufridos en laboratorios en los que se están realizando avances en la vacuna.
El objetivo de estos ataques puede variar. En algunos casos se trata de ciberespionaje puro, es decir, del robo de propiedad intelectual. Un fin lógico, dada la carrera en la que estados y compañías farmacéuticas se encuentran en la actualidad por ser los primeros en tener aprobada la tan esperada vacuna.
Pero puede tratarse también de sabotaje, de retrasar el trabajo de la competencia. En el pasado, diferentes ataques han obligado a compañías farmacéuticas a parar ensayos de medicamentos tras sufrir incidentes en los que los datos de estos ensayos se habían manipulado, secuestrado o borrado. O a suspender la producción porque estos incidentes provocaban paradas en sus plantas.
Recordemos que a la farmacéutica estadounidense Merck le costó casi un año recuperarse por completo del ciberataque NotPetya en 2017, que afectó especialmente a su vacuna para la hepatitis B. Un ciberataque puede ayudar a un determinado laboratorio a adelantar a sus rivales.
Chantajes a compañías de seguros y hospitales
Por otro lado, distintos grupos relacionados con la creación y difusión de ransomware han provocado incidentes graves en diferentes compañías de seguros de salud y en centros hospitalarios. Los ataques se han producido tanto en España (recordemos el caso del hospital de Torrejón de Ardoz o los más recientes de Mapfre o Adeslas) como a nivel internacional (por desgracia, con un ejemplo muy reciente que se ha cobrado una víctima mortal en Alemania).
El ransomware es un programa malicioso que secuestra los datos almacenados en un equipo informático, normalmente cifrándolos, mientras no se pague un rescate a los atacantes.
Hay dos formas de superar este tipo de ataques: pagar el rescate y confiar en que los ciberdelicuentes cumplirán su palabra y revelarán la clave para descifrar los datos a cambio, o restaurar los sistemas desde cero utilizando para ello las últimas copias de seguridad disponibles.
Algunos factores hacen que en muchos casos se opte por negociar el pago con los ciberdelincuentesson:
- La urgencia por volver a la normalidad (decisiva en el caso de un hospital).
- Los malos procedimientos de seguridad que hacen que estas copias de seguridad no existan o sean demasiado antiguas.
- La cobertura que algunas pólizas de seguros proporcionan para cubrir el coste del pago de estos rescates.
Los éxitos cosechados han atraído a numerosos grupos a este modelo de cibercrimen, que no deja de crecer en los últimos meses. Cada vez hay más muestras de ransomware diferentes, cada vez hay más grupos que atacan con ellas y los rescates que piden son cada vez más altos.
En algunos casos, las mafias detrás de los ataques no solo amenazan con destruir los datos si no se paga, sino con filtrarlos en internet o venderlos en la internet oscura (de nuevo algo crítico si se trata de datos de salud).
Las peligrosas consecuencias para un hospital
Un ataque de ransomware que afecte a un hospital puede provocar problemas con las citas o el manejo de historiales médicos, pero también con el control del edificio, la monitorización de pacientes u otros sistemas críticos, dependiendo de los equipos que se infecten.
Hemos visto ejemplos recientes en la ficción, como en el caso de un capítulo de la última temporada de la serie francesa Oficina de infiltrados. Pero por desgracia, ficción no es ciencia ficción.
Es muy probable que un hospital afectado pague por el rescate, y por eso ha aumentado el número de ataques a centros sanitarios durante la presente emergencia sanitaria.
Cuando comenzó la situación de pandemia mundial, algunos grupos mafiosos se comprometieron a no atacar centros hospitalarios para no afectar así a la atención que se estaba proporcionando a los enfermos. Pero ¿cómo confiar en una tregua de estas características? ¿quién la firma, por cuánto tiempo?
Ya hemos visto que se están produciendo ataques con consecuencias graves. Algunas voces implicadas dicen que ha sido sin querer, que no se pretendía atacar a organizaciones relacionadas con la salud.
Es verdad que en algunos de estos casos los propios atacantes han proporcionado rápidamente las claves de descifrado de datos al comprender que los equipos infectados pertenecían a un hospital. Pero poco podemos saber de sus intenciones reales.
¿Por qué son vulnerables y cómo pueden protegerse?
Los hospitales y otras infraestructuras relacionadas con la salud son especialmente vulnerables por diferentes motivos:
- Han incorporado tecnología rápidamente pero no así recursos humanos que sepan gestionar esta tecnología y garantizar su seguridad. Muchas veces se trabaja con sistemas obsoletos, sin parchear adecuadamente, sin proteger, conectados a internet con vulnerabilidades que se conocen hace tiempo y que no es difícil aprovechar.
- Los usuarios de esta tecnología no suelen estar formados ni concienciados para realizar un uso seguro. Además, es relativamente sencillo despertar en ellos una sensación de urgencia (todavía más en mitad de una pandemia) que les haga tomar decisiones impulsivas que provoquen un incidente de seguridad: pinchar en un enlace, abrir un archivo adjunto, desvelar una contraseña a una persona que parece del personal, etc.
- El presupuesto (a veces ajustado) se dedica casi a cualquier cosa antes que a la ciberseguridad. Siempre hay algo más urgente, más importante. La seguridad informática no se percibía hasta ahora como una prioridad, ¿cómo iba a serlo con la salud de tantas personas en juego?
En este nuevo contexto en el que han pasado a ser objetivos prioritarios de muchos ciberataques, están recibiendo ayuda y apoyo de diferentes organizaciones gubernamentales, empresas e incluso de voluntarios. Todos ellos les advierten de manera privada cuando encuentran vulnerabilidades en sus sistemas, les ayudan a solucionarlas, les proporcionan formación e incluso medios materiales.
Pero esta situación no es sostenible, es necesario que se invierta en modernizar sus infraestructuras y en fortificarlas. Y también es imprescindible que incorporen equipos técnicos propios que puedan gestionar sus ciberriesgos específicos de la manera apropiada.
Por último, conviene que se forme y conciencie a los investigadores y profesionales sanitarios para que puedan centrarse en realizar una labor tan importante como la suya en estos momentos sin caer en las trampas de los delincuentes.
Marta Beltrán, Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos
Este artículo fue publicado originalmente en The Conversation. Lea el original.